• Author / Uploaded
• Ruben Dario

• Categories
• Contralor
• Auditoría financiera
• Contabilidad
• Información
• Prueba (evaluación)

Citation preview

AUDITORIA DE SISTEMAS

UNA PUNO

to UNIVERSIDAD NACIONAL DEL ALTIPLANO FACULTAD DE CIENCIAS CONTABLES Y ADMINISTRATIVAS ESCUELA PROFESIONAL DE CIENCIAS CONTABLES

TEMA: AUDITORIA DE SISTEMAS CURSO:

AUDITORIA DE GESTION Y DE SISTEMAS

DOCENTE:

Mgs. German A. Medina Colque

PRESENTADO POR :  MAYTA GONZALES, Doris Noemi  SUPO QUISPE, Elizabeth  ARESTEGUI CAHUANA, Ruben V. SEMESTRE: X PUNO – PERU

AUDITORIA DE SISTEMAS

UNA PUNO 2011

hola chicos: hacer las diapositivas de cada tema, para Melo en la parte en verde y la de rojo es para Ruben , la exposicion el el miercoles en su hora cualquier pregunta llamar a cel de ely o a mi cel 978287838. no vemos. AGRADECIMIENTO En primer lugar agradecemos a Dios, por darnos la bendición de estar vivos. A Nuestros padres, pilares de nuestra

existencia,

necesitamos

para

el

apoyo

seguir

en

que el

camino de la vida, dándonos todo en cuanto docentes

han

podido. por

sus

A

nuestros valiosas

indicaciones, orientación y por ser mentores nuestra formación.

AUDITORIA DE SISTEMAS

UNA PUNO

DEDICATORIA El presente trabajo, está dedicado con

mucho

queridos

afecto

a

nuestros

padres por su constante

apoyo moral y económico en este largo

camino

profesional,

así

de mismo

formación a

nuestro

docente apoyo de nuestra formación personal y profesional.

AUDITORIA DE SISTEMAS

UNA PUNO

cap5.pdf http://sisbib.unmsm.edu.pe/bibvirtualdata/tesis/empre/zanabria_h_e/enpdf/cap5.pdf auditoria_gestion_empresas_soc_estado.pdf http://estatico.buenosaires.gov.ar/areas/sindicatura/biblioteca/auditoria_gestion_empresas_soc_estado.p df INDICE Auditoria de gestión.pdf http://diposit.ub.edu/dspace/bitstream/2445/13223/1/Auditoria%20de%20gesti 1. Sistemas %C3%B3n.pdf auditoria.pdf http://www.ecobachillerato.com/temasecem/auditoria.pdf AUDITORIA+Y+NORMAS+INTERNACIONALES.pdf 2. Auditoria http://212.9.83.4/auditoria/home.nsf/Todos/2E1E0DCDE70D429BC125765C00192D59/$FILE/AUDITORIA+ Y+NORMAS+INTERNACIONALES.pdf SIC_39_acuentas.pdf http://www.revistasic.com/revista39/pdf_39/SIC_39_acuentas.PDF 3. Auditorias de los Sistemas Gestión METODOLOGIA DE UNA AUDITORIA DE de SISTEMAS.pdf http://www.itchetumal.edu.mx/paginasvar/Maestros/mduran/Archivos/METODOLOGIA%20DE%20UNA %20AUDITORIA%20DE%20SISTEMAS.pdf

MTTAuditoria_2000-11-07.pdf OHSAS_18001-2007(ES).pdf http://www.sgcconsultora.com.ar/pdf/OHSAS_18001-2007(ES).pdf crom-2005-gestion.pdf http://www.ieee.org.ar/downloads/crom-2005-gestion.pdf

doc_iso27000_all.pdf

AUDITORIA DE SISTEMAS

UNA PUNO RESUMEN

INTRODUCCIÓN

INTRODUCCIÓN

AUDITORIA DE SISTEMAS

UNA PUNO

Durante los últimos años se han multiplicado los estudios tendentes a analizar la información como factor clave para la toma de decisiones en la empresa, clave de la gestión empresarial, y eje conceptual sobre el que gravitan los sistemas de información empresariales. Se considera que la información es un recurso que se encuentra al mismo nivel que los recursos financieros, materiales y humanos, que hasta el momento habían constituido los ejes sobre los que había girado la gestión empresarial. Si la Teoría económica tradicional mantenía el capital, la tierra y el trabajo como elementos primarios de estudio, la información se ha convertido, ahora, en el cuarto recurso a gestionar. El dominio de la información externa, no debe hacer olvidar el control de los flujos internos de información que la propia empresa genera derivado de su funcionamiento. Y, finalmente, tampoco se debe olvidar la propia información que la empresa lanza al exterior, en algunos casos regulada por factores legales, como aquellos que obligan a las empresas a depositar sus cuentas anuales en los registros mercantiles. Datos, a su vez, que se convierten en información externa para otras empresas que absorben esa información.

AUMENTAR……..

1. AUDITORIA 1.1. CONCEPTO

AUDITORIA DE SISTEMAS

UNA PUNO

Se tiene evidencia de que algún tipo de auditoría se practicó en tiempos muy remotos, ya que los soberanos exigían el mantenimiento de las cuentas de su residencia por dos escribanos independientes, se pone en manifiesto que fueron tomadas algunas medidas para evitar desfalcos en dichas cuentas. A medida que se desarrollo el comercio, surgió la necesidad de las revisiones independientes para asegurarse de la adecuación y finalidad de los registros mantenidos en varias empresas comerciales. “La práctica de la auditoría nació en Gran Bretaña durante la segunda mitad del siglo XIX y se extendió a otros países de cultura empresarial anglosajona, sobre todo en EEUU, consolidándose en las tres últimas décadas finales del pasado siglo, como una forma de proporcionar información contable con fiabilidad que hiciera más transparente al inversor el mercado de valores, sobre todo después del precedente que supuso en denominado Crack de 1929. Progresivamente se fue introduciendo en Europa y se desarrolló notablemente con la creación de la Comunidad Económica Europea, al impulsar la armonización de las condiciones desarrolladas en los diferentes países pertenecientes, convirtiéndose en práctica habitual en las organizaciones económicas” (GÓMEZ LÓPEZ, 2003). La auditoría como profesión fue reconocida por primera vez bajo la Ley Británica de Sociedades Anónimas de 1862 y el reconocimiento general tuvo lugar durante el período de mandato de la Ley “Un sistema metódico y normalizado de contabilidad era deseable para una adecuada información y para la prevención del fraude”. También reconocida como “Una aceptación general de la necesidad de efectuar una versión independiente de las cuentas de las pequeñas y grandes empresas”. En 1912 se dijo: En los que podría llamarse los días en los que se formó la auditoría, a los estudiantes se les enseñaban que los objetivos primordiales de ésta eran:

AUDITORIA DE SISTEMAS

UNA PUNO

 La detección y prevención de fraude;  La detección y prevención de errores; sin embargo, en los años siguientes hubo un cambio decisivo en la demanda y el servicio, y los propósitos actuales son:  El cerciorarse de la condición financiera actual y de las ganancias de una empresa,  La detección y prevención de fraude, siendo éste un objetivo menor. Este cambio en el objetivo de la auditoría continuó desarrollándose, no sin oposición, hasta aproximadamente 1940, en este tiempo “Existía un cierto grado de acuerdo en que el auditor podía y debería no ocuparse primordialmente de la detección de fraude”. El objetivo primordial de una auditoría independiente debe ser la revisión de la posición financiera y de los resultados de operación como se indica en los estados financieros del cliente, de manera que pueda ofrecerse una opinión sobre la adecuada presentación de éstas a las partes interesadas. La evolución de la función de auditoría ha sido continua a lo largo de estos últimos años,

caracterizada

por

el

progresivo

aumento

de

atribuciones

y

responsabilidades, con el objetivo fundamental de servir cada vez mejor a la dirección de las empresas, como instrumento que asegure la eficiencia de su gestión. Ha sido preciso recorrer un largo camino desde el inicio de la auditoría, como una rama de la contabilidad, a la que se creía vinculada, hasta el momento actual, en que constituye toda una especialidad de la administración y gestión de la empresa. Al principio la finalidad de la función auditoría era simplemente revisar la situación económica – financiera de la empresa, buscando posibles fraudes o errores y asegurando la aplicación correcta de las normas contables, sin embargo, en los años previos a la segunda guerra mundial, los hombres de empresa tomaron conciencia de que se hacía necesario, implantar en ellas un sistema de control independiente de la estructura jerárquica y operativa, aduciendo para ello razones como:

AUDITORIA DE SISTEMAS

UNA PUNO

 La creciente complejidad de los fenómenos económicos y la dinámica cambiante de los métodos y sistemas de administración y gestión de empresas.  La dimensión de las empresas, que obligaba a los directores a dedicar su atención a los problemas más importantes, por carecer de tiempo y posibilidades físicas para gestionar y examinar de cerca todas las actividades de la compañía.  La multiplicación de la delegación de funciones, poderes y alejamiento de las empresas filiales de sus empresas matrices.  La evolución de las comunicaciones a escala mundial. Entonces entenderemos como Auditoría: 1. Una recopilación, acumulación y evaluación de evidencia sobre información de una entidad, para determinar e informar el grado de cumplimiento entre la información y los criterios establecidos. 2. Una sistemática evaluación de las diversas operaciones y controles de una organización, para determinar si se siguen políticas y procedimientos aceptados, si se siguen las normas establecidas, si se utilizan los recursos eficientemente y si se han alcanzado los objetivos de la organización. 3. Un proceso sistemático para obtener y evaluar de manera objetiva, las evidencias relacionadas con informes sobre actividades económicas y otras situaciones que tienen una relación directa con las actividades que se desarrollan en una entidad pública o privada. El fin del proceso consiste en determinar el grado de precisión del contenido informativo con las evidencias que le dieron origen, así como determinar si dichos informes se han elaborado observando principios establecidos para el caso (WINKLE, 1987). Auditoría en forma gráfica

AUDITORIA DE SISTEMAS

UNA PUNO

Si visualizamos la figura podríamos decir que la auditoría es un proceso a través del cual un sujeto (auditor) lleva a cabo la revisión de un objeto (situación auditada), con el fin de emitir una opinión acerca de su razonabilidad (o fidelidad), sobre la base de un patrón o estándar establecido. Sujeto; es el auditor que realiza la revisión del objeto bajo examen, que puede ser una cuenta contable determinada, un departamento en forma completa, un procedimiento, etcétera. Objeto; es la situación auditada, esta puede ser muy diversa, ya que en algunos casos se da que sea una empresa en forma completa y en otros, solo se realiza esta revisión a una situación precisa. Estándar; es el punto de comparación que tiene el auditor, para poder evaluar si la situación bajo examen cumple o no, con un determinado patrón establecido con anterioridad a la ocurrencia de la situación. Este estándar puede ser por ejemplo, principios de contabilidad generalmente aceptados, normas de auditorías generalmente aceptadas, ley de la renta, ley de impuesto al valor agregado,

AUDITORIA DE SISTEMAS

UNA PUNO

manuales de procedimiento, en otras palabras cualquier documento que nos permita apoyar el dictamen final del auditor. 1.2. Normas de auditoría generalmente aceptadas Como ya sabemos todo tipo de norma profesional que se establece es con el objetivo de evaluar la calidad y desempeño de los individuos y organizaciones, por lo tanto el auditor no está exento de tal situación y debe regirse por las Normas de Auditoría Generalmente Aceptadas (NAGAS) que son los principios fundamentales de auditoría, en los cuales deben enmarcar su trabajo durante el proceso de la auditoría misma. El cumplimiento de estas normas garantiza la calidad del trabajo profesional del auditor. Las NAGAS tienen su origen en los boletines (Statement on Auditing Estándar-SAS) emitidos por el comité de Auditoría de Instituto Americano de Contadores Públicos de los Estados Unidos de Norteamérica en el año 1948. Estas normas por su carácter general se aplican a todo el proceso del examen y se relacionan básicamente con la conducta funcional del auditor como persona humana y regula los requisitos y aptitudes que debe reunir para actuar como tal. La auditoría debe ser efectuada por un profesional que tiene un entrenamiento técnico y la pericia suficiente para desempeñar esta labor. Definición: normas de auditoría son los requisitos mínimos de calidad relativos a la personalidad del auditor, al trabajo que desempeña y la información que rinde como resultado de este trabajo. Normas personales: se refieren a las cualidades mínimas que el auditor debe tener para poder realizar su trabajo, son exigencias que el carácter profesional de la auditoría le impone. Existen cualidades que los auditores deben tener pre – adquiridas antes de poder asumir un trabajo profesional de auditoría y cualidades que deben de mantener durante toda su vida profesional.  Entrenamiento y capacidad profesional; el trabajo de auditoría debe ser desempeñado por

personas que, teniendo título profesional legalmente

AUDITORIA DE SISTEMAS

UNA PUNO

expedido y reconocido, tenga entrenamiento técnico adecuado y capacidad profesional como auditores.  Independencia; El auditor está obligado a mantener una independencia mental en todos los asuntos relativos a su trabajo profesional.  Cuidado o esmero profesional; El auditor está obligado a ejercitar cuidado y diligencia razonable en la realización de su examen y en la preparación de su dictamen o informe. El trabajo de auditoría debe ser realizado por persona o personas que, teniendo formación técnica adecuada, puedan demostrar experiencia y capacidad profesional como auditores. La formación técnica se obtiene, generalmente, en la universidad, escuelas técnicas e institutos profesionales,

sin embargo la

experiencia y capacidad profesional se adquiere con el tiempo. El auditor o auditores están obligados a mantener una posición de independencia en su trabajo profesional con objeto de lograr imparcialidad y objetividad en sus juicios. Si una auditoría ha de ser efectiva y digna de confianza debe ser realizada por alguien que tenga la suficiente independencia con respecto a las personas cuya labor está examinando, y por tanto puede emitir una opinión totalmente objetiva. El auditor deberá evitar cualquier relación con su cliente que haga dudar a un tercero de su independencia.  Conducta: La conducta del auditor debe ser siempre recta, de tal forma que no permita que se exponga a presiones que lo obliguen a aceptar o silenciar hechos que alterarían la corrección de su informe.  Ecuanimidad: La actitud del auditor debe ser totalmente libre de prejuicios. Debe colocarse en una posición imparcial respecto al cliente, a sus directivos y accionistas.  Parentesco y amistad: El auditor debe evaluar si por razones de parentesco o amistad puede verse afectada su posición de independencia.  Independencia económica: El auditor no debe tener intereses comunes con su cliente. No puede tener relación de dependencia ni ser directivo del ente examinado, ni tampoco ser accionista, deudor o acreedor del mismo.

AUDITORIA DE SISTEMAS

UNA PUNO

En la realización de su examen y preparación de su informe el auditor deberá ejercer una adecuada responsabilidad profesional. Esta norma requiere que el auditor desempeñe su trabajo con el máximo de atención, diligencia y cuidado que pueda esperarse de una persona con sentido de la responsabilidad. Exige al auditor la

obligación de cumplir con las normas

relativas a la realización del trabajo y preparación del informe y a cumplir con los códigos de ética profesional establecidos por la profesión. 1.2.1. Informe COSO COSO

: Committee of Sponsoring Organizations of the

Treadway Commission. Autor del informe

: Copers & Lybrand S.A.

Grupo asesor del informe

: Ejecutivos de importantes empresa, tales como

IBM, Shell, Du Pont, Nationsbank, Arthur Andersen, entre otras. Entidades promotoras

: American Institute of Certified Public Accoun,

American Accounting Associaion, The Institute of Internal Auditors, Institute of Management Accountants, Finantial Executives Institute (TRONCOSO, 2003). Objetivo: definir un nuevo marco conceptual del control interno capaz de integrar las diversas definiciones y conceptos que hasta ese momento se habían venido utilizando sobre este tema. Definición: el control interno se define como un proceso, efectuado por el personal de una entidad, diseñado para conseguir unos objetivos específicos. La definición es amplia y cubre todos los aspectos de control de un negocio, pero al mismo tiempo permite centrarse en objetivos específicos. El control interno consta de cinco componentes relacionados entre sí que son inherentes al estilo de gestión de la empresa. Estos componentes están vinculados entre sí y sirven

AUDITORIA DE SISTEMAS

UNA PUNO

como criterios para determinar si el sistema es eficaz (COOPER&LIBRAND, 1992). “El control interno es un proceso efectuado por el directorio, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos dentro de las siguientes categorías”:  Eficacia y eficiencia de las operaciones  Fiabilidad de la información financiera  Cumplimiento de las leyes y normas aplicables (TRONCOSO, 2003) El primer aspecto clave de la definición propuesta por el informe COSO es que se trata de un proceso. En consecuencia los controles internos no deben ser hechos o mecanismos aislados, o decretos de la dirección, sino una serie de acciones, cambios o funciones que, en conjunto, conducen a cierto fin o resultado. Esto por sí solo extiende el concepto de control interno más allá de la noción tradicional de controles financieros, para convertir el control interno en un sistema integrado de materiales, equipo, procedimientos y personas. La siguiente frase de la definición, indica que el control interno es asunto de personas. Ninguna organización puede conocer todos los riesgos actuales y potenciales a los que está expuesta en cualquier momento determinado y desarrollar controles para hacer frente a todos y cada uno de ellos. En consecuencia las personas que componen la organización deben tener conciencia de la necesidad de evaluar los riesgos y aplicar controles, y deben estar en condiciones de responder adecuadamente a ello. Puede decirse que la parte más importante de la definición propuesta por el informe COSO es que se alcanzarán los objetivos. Los controles internos no son elementos

restrictivos

sino

que

posibilitan

los

procesos,

permitiendo

y

promoviendo la consecución de los objetivos porque se refieren a los riesgos a superar para alcanzarlos. No se trata sólo de los objetivos relacionados con la

AUDITORIA DE SISTEMAS

UNA PUNO

información financiera y el cumplimiento de la normativa, sino también de las operaciones de gestión del negocio. Esta manera de ver los controles da valor a las tareas de evaluación y perfeccionamiento de los controles internos y se convierten en responsabilidad de todos. Dentro del marco integrado se identifican cinco elementos de control interno que se relacionan entre sí, ayudando así a que la empresa dirija de mejor forma sus objetivos y ayuden a integrar a todo el personal en el proceso. Aunque estos elementos son aplicables a todas las empresas, las pequeñas y medianas pueden implementarlo de forma distinta que las grandes, pero también lo puede hacer, un poco menos formal y estructurado, pero igualmente puede ser eficaz. También se pone en manifiesto que la estructura de control abarca las tres categorías de objetivos de una entidad; explotación eficiente, información financiera exacta, y cumplimiento de la normativa. Gráficamente se muestran los cincos elementos que deben actuar en forma conjunta para que se pueda generar un efectivo control interno en las empresas.

AUDITORIA DE SISTEMAS

UNA PUNO

Entorno de control: el entorno de control marca la pauta del funcionamiento de una empresa e influye en la concienciación de sus empleados respecto al control. Es la base de todos los demás componentes del control interno, aportando disciplina y estructura. Los factores del entorno de control incluyen la integridad, los valores éticos y la capacidad de los empleados de la empresa, la filosofía de dirección y el estilo de gestión, la manera en que la dirección asigna autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados y la atención y orientación que proporciona al consejo de administración. “El núcleo de un negocio es su personal (sus atributos individuales, incluyendo la integridad, los valores éticos y el profesionalismo) y el entorno en que trabaja, los empleados son el motor que impulsa la entidad y los cimientos sobre los que descansa todo”. Evaluación de los riesgos; las organizaciones, cualquiera sea su tamaño, se enfrentan a diversos riesgos de origen externos e internos que tienen que ser evaluados. Una condición previa a la evaluación del riesgo es la identificación de los objetivos a los distintos niveles, vinculados entre sí e internamente coherentes. La evaluación de los riesgos consiste en la identificación y el análisis de los riesgos relevantes para la consecución de los objetivos, y sirve de base para determinar cómo han de ser gestionados los riesgos. Debido a que las condiciones económicas, industriales, legislativas y operativas continuarán cambiando continuamente, es necesario disponer de mecanismos para identificar y afrontar los riesgos asociados con el cambio. “La entidad debe conocer y abordar los riesgos con que se enfrenta, estableciendo mecanismos para identificar, analizar y tratar los riesgos correspondientes en las distintas áreas”. Actividades de control: las actividades de control son las políticas y los procedimientos que ayudan a asegurar que se lleven a cabo las instrucciones de la dirección de la empresa. Ayudan a asegurar que se tomen las medidas

AUDITORIA DE SISTEMAS

UNA PUNO

necesarias para controlar los riesgos relacionados con la consecución de los objetivos de la empresa. Hay actividades de control en toda la organización, a todos los niveles y en todas las funciones. “Deben establecerse y ajustarse políticas y procedimientos que ayuden a conseguir una seguridad razonable de que se llevan a cabo en forma eficaz las acciones consideradas necesarias para afrontar los riesgos que existen respecto a la consecución de los objetivos de la unidad”. Información y comunicación: hay que identificar, recopilar y comunicar información pertinente en forma y plazo que permitan cumplir a cada empleado con sus responsabilidades. Los sistemas informáticos producen informes que contienen información operativa, financiera y datos sobre el cumplimiento de las normas que permite dirigir y controlar el negocio de forma adecuada. Dichos sistemas no sólo manejan datos generados internamente, sino también información sobre acontecimientos internos, actividades y condiciones relevantes para la toma de decisiones de gestión así como para la presentación de información a terceros. También debe haber una comunicación eficaz en un sentido más amplio, que fluya en todas las direcciones a través de todos los ámbitos de la organización, de arriba hacia abajo y a la inversa. El mensaje por parte de la alta dirección a todo el personal ha de ser claro; las responsabilidades del control han de tomarse en serio. Los empleados tienen que comprender cuál es su papel en el sistema de control interno y como las actividades individuales estén relacionadas con el trabajo de los demás. Por otra parte, han de tener medios para comunicar la información significativa a los niveles superiores. Asimismo, tiene que haber una comunicación eficaz con terceros, como clientes, proveedores, organismos de control y accionistas. “Las mencionadas actividades están rodeadas de sistemas de información y comunicación. Éstos permiten que el personal de la entidad capte e intercambie la información requerida para desarrollar, gestionar y controlar sus operaciones”.

AUDITORIA DE SISTEMAS

UNA PUNO

Supervisión: los sistemas de control interno requieren supervisión, es decir, un proceso que comprueba que se mantiene el adecuado funcionamiento del sistema a lo largo del tiempo. Esto se consigue mediante actividades de supervisión continuada, evaluaciones periódicas o una combinación de ambas cosas. La supervisión continuada se da en el transcurso de las operaciones. Incluye tanto las actividades normales de dirección y supervisión, como otras actividades llevadas a cabo por el personal en la realización de sus funciones. El alcance y la frecuencia de las evaluaciones periódicas dependerán esencialmente de una evaluación de los riesgos y de la eficacia de los procesos de supervisión continuada. Las deficiencias detectadas en el control interno deberán ser notificadas a niveles superiores, mientras que la alta dirección y el consejo de administración deberán ser informados de los aspectos significativos observados. “Todo el proceso debe ser supervisado, introduciéndose las modificaciones pertinentes cuando se estime necesario. De esta forma el sistema puede reaccionar ágilmente y cambiar de acuerdo a las circunstancias”.

1.3. Pruebas y evidencias en Auditoría Pruebas de cumplimiento: los controles se aplican tal como se describe en la documentación del programa o según lo que describa el personal de la empresa auditada y determina si los controles se aplican en una manera que “cumple” las políticas y procedimientos de la dirección de la empresa. Pruebas sustantivas; son las pruebas que “sustentan” la adecuación de los controles existentes para proteger a la empresa de actividades fraudulentas. Un auditor utilizará una prueba sustantiva para determinar o probar los errores que afectan en forma directa el objeto bajo examen.

AUDITORIA DE SISTEMAS

UNA PUNO

EVIDENCIAS La recopilación de material que ayude en la generación de una opinión lo más correcta posible es un paso clave en el proceso de la auditoría. El auditor debe conocer las diversas formas de evidencias y como puede ser recopilada y examinada para respaldar los hallazgos de la auditoría. Luego de recopilar la suficiente evidencia, el siguiente paso es evaluar la información recopilada a fin de desarrollar opiniones y recomendaciones finales. Tipos de Evidencia y pruebas aplicables: Evidencia ocular: o Comparación: es observar la similitud o diferencia existente entre dos o más elementos. o Observación: es el examen ocular para cerciorarse como se ejecutan las operaciones. Evidencia Oral: se obtiene de otras personas en forma de declaraciones hechas en el curso de investigaciones o entrevistas. Las declaraciones que sean importantes para la auditoría deberán corroborarse siempre que sea posible mediante evidencia adicional. También será necesario evaluar la evidencia testimonial para cerciorarse que los informantes no hayan estado influidos por prejuicios o tuvieran sólo un conocimiento parcial del área auditada. o Indagación: es el acto de obtener información verbal sobre un asunto mediante averiguaciones directas o conservaciones con los funcionarios de la empresa. o Entrevistas: pueden ser efectuadas al personal de la empresa auditada o personas beneficiarias de los programas o proyectos. o Encuestas: pueden ser útiles para recopilar información de un gran universo de datos o grupos de personas. Evidencia Escrita:

AUDITORIA DE SISTEMAS

UNA PUNO

Analizar; consiste en la separación y evaluación crítica, objetiva y minuciosa de los elementos o partes que conforman una operación, actividad, transacción o proceso, con el fin de establecer su naturaleza, su relación y conformidad con los criterios normativos y técnicos existentes. o Confirmación: es la técnica que permite comprobar la autenticidad de los registros y documentos analizados, a través de información directa y por escrito, otorgada por funcionarios que participan o realizan las operaciones sujetas a examen. o Tabulación: es la técnica de auditoría que consiste en agrupar los resultados obtenidos en áreas, segmentos o elementos examinados, de manera que se facilite la elaboración de conclusiones. o Conciliación: implica hacer que concuerden los conjuntos de datos relacionados, separados e independientes. Evidencia Documental: consiste en la información elaborada, como la contenida en cartas, contratos, registros de contabilidad, facturas y documentos de administración relacionados con su desempeño. o Comprobación: se aplica en el curso de un examen, con el objeto de verificar la existencia, legalidad, autenticidad y legitimidad de las operaciones efectuadas por una empresa, mediante la verificación de los documentos que las justifiquen. o Computación: se utiliza para verificar la exactitud y corrección aritmética de una operación o resultado. o Rastreo: es utilizada para dar seguimiento y controlar una operación de manera progresiva, de un punto a otro de un proceso interno determinado o, de un proceso a otro realizado por una unidad operativa dada. Evidencia analítica: comprende cálculos, comparaciones, razonamiento y separación de información en sus componentes. Evidencia física: es el examen físico y ocular de activos, obras, documentos y valores, con el objeto de establecer su existencia y autenticidad. Esta evidencia se

AUDITORIA DE SISTEMAS

UNA PUNO

obtiene mediante inspección u observación directa de las actividades, bienes y/o sucesos. La evidencia de esa naturaleza puede presentarse en forma de memorando (donde se resuman los resultados de la inspección o de otra observación), fotografías, gráficas, mapas o muestra materiales. El auditor responsable de cada hallazgo utilizará papeles de trabajo para respaldar lo encontrado, los cuales serán verificados por el coordinador. En los mismo papeles, para cada hallazgo, (favorable o desfavorable, positivo o negativo) deberá consignarse cada una de las pruebas obtenidas, verificando que se cumplan con las siguientes condiciones: Suficiencia: del trabajo realizado. ¿Son suficientes las evidencias reunidas para sustentar los hallazgos, conclusiones y cualquier recomendación?. El auditor deberá recolectar hechos reales, adecuados y convincentes, de tal manera que una persona prudente pueda llegar a la misma conclusión a la cual él llegó. Cuando sea conveniente se podrán emplear métodos estadísticos para probar la suficiencia. Confiabilidad: esto con respecto a los antecedentes reunidos. Los antecedentes deberán ser válidos, es decir, que reflejen la situación real del ente o área. La evidencia debe merecer la confianza del auditor y representar el mejor dato disponible. De no ser así deberá buscarse evidencia adicional. Papeles de trabajo: estos papeles contienen la evidencia que respalda los hallazgos, observaciones, opiniones de funcionarios responsables de la empresa examinada. En estos documentos se registra todo el trabajo realizado por el auditor y constituyen la base de justificación para el informe final que prepara con recomendaciones. Estos papeles ayudan a los auditores a proporcionar un medio de coordinación del trabajo realizado, a supervisar y revisar este trabajo, soporte para realizar el informe final, en conclusión ayuda a la realización de la auditoría misma.

AUDITORIA DE SISTEMAS

UNA PUNO

1.4. TIPOS DE AUDITORIA En el ámbito de la administración, la auditoría tiene una función asesora/ técnica al servicio de la dirección superior de la empresa, cuya misión fundamental es apoyar la gestión empresarial en lo relativo a las necesidades de información, evaluación y control para el proceso de toma de decisiones, tanto internas como externas a la organización. En este ámbito podemos encontrar dos tipos de auditorías que son las más comunes; auditoría interna y auditoría externa. AUDITORÍA INTERNA Evalúa la efectividad de los registros contables y/o demás mecanismos o procedimientos que posee una empresa, con la intención de prever modificaciones en los mismos para hacerlos más confiables y seguros, y de esa manera evitar al máximo las posible irregularidades motivadas por un deficiente control interno de la empresa. Funciones de la auditoría interna Tiene por objeto verificar los diferentes procedimientos y sistemas de control interno establecidos por una empresa, con objeto de conocer si funcionan como se había previsto y al mismo tiempo ofrecer a la dirección posibles cambios o mejoras en los mismos. Es una pieza fundamental de control en grandes empresas y se estructura, dentro de las mismas, como un departamento que funciona independientemente y depende directamente de la gerencia. Todas las empresas se preocupan de salvaguardar sus activos; esto significa que se debe estar verificando constantemente si el control interno es eficaz (si se cumplen los objetivos), de lo contrario se deben proponer mejoras para dicho control. Es un control cuyas funciones consisten en examinar y evaluar la adecuación y eficiencia de otros controles.

AUDITORIA DE SISTEMAS

UNA PUNO

Esta auditoría es realizada por los mismos empleados de la empresa, cuyos procedimientos e informes que emiten siempre están siendo revisados por otras personas que pertenecen al área de la administración general, lo que significa que a veces son parte del departamento auditado. Las personas que realizar esta labor se le llama auditores internos, los cuales deben ser independientes de los trabajos que revisan (es el ideal que siempre se espera conseguir). El auditor interno lleva a cabo una función muy importante al interior de las empresas mercantiles, gubernamentales o cualquier otra forma de organización, dado que al revisar los sistemas de información interna pueden determinar si éstos han sido diseñados de acorde a las instrucciones que ha emitido la dirección general de la entidad. De esta revisión se puede extraer la información necesaria para saber si los sistemas implementados son los correctos o se necesita implementarle mejoras o simplemente se debe desarrollar otro nuevo para así mejorar la calidad de los controles. El auditor interno tiene dentro de sus labores la revisión de actividades tales como control de calidad, investigación de mercado, políticas de personal y muchos otros temas que se relacionan sólo de modo muy lejano con la información financiera. Estos auditores tienen que estar en una alerta permanente para poder detectar e informar a la dirección de la empresa, cualquier asunto o situación que ocurra al interior de la entidad a la que pertenece. AUDITORÍA EXTERNA Es desarrollada por auditores externos independientes, los cuales centran su trabajo principalmente en el análisis de los estados financieros u otra situación determinada que desee revisar la empresa que solicita este servicio, así como en la verificación muy general de sus operaciones en un ejercicio determinado. Todas las organizaciones deben presentar en algún momento sus informes financieros

a

otros

usuarios

externos,

tales

como

bancos,

financieras,

proveedores, acreedores, accionistas, inversionistas y otros. En cada uno de estos casos los usuarios externos necesitan que la información contable presentada por

AUDITORIA DE SISTEMAS

UNA PUNO

la empresa, tenga la seguridad necesaria que ellos necesitan, por lo tanto estos informes deben cumplir en plenitud con los principios de contabilidad generalmente aceptados. Aunque los auditores internos, son independientes de los otros empleados de la empresa, siempre se puede presentar la posibilidad que los usuarios externos puedan dudar de la información financiera presentada por estos, esta desconfianza se presenta dado que estos auditores internos deben revisar el trabajo de sus mismos compañeros de empresa, es por eso que los usuarios externos siempre solicitan que la información contable sea revisada por auditores externos, a quienes se les puede contratar como a cualquier otro profesional, ya que por no pertenecer a la planta de la empresa, sus informes representan una mayor confianza. Una de las características principales de los auditores externos es que realizan su trabajo con una actitud mental de integridad y objetividad, es decir, libre de todo prejuicio. El valor que pueda representar el dictamen de estos auditores, dependerá únicamente de su reputación profesional, reputación que se obtiene dado a su independencia mental y objetividad que utiliza en cada trabajo desarrollado, además cabe destacar que el único activo que posee un auditor, es su prestigio y reputación profesional. Diferencia entre auditoría interna y externa La auditoría externa se puede definir como un servicio público prestado por profesionales calificados en contaduría, que consiste en la realización según normas y técnicas específicas, de una revisión de los estados financieros de la empresa, a fin de expresar su opinión independiente sobre si tales estados presentan adecuadamente la situación económica - financiera de dicha empresa en un momento dado, sus resultados y los cambios en ella habidos durante un periodo determinado, de acuerdo con los principios de contabilidad generalmente aceptados. La auditoría interna se lleva a cabo con personas pertenecientes a la

AUDITORIA DE SISTEMAS

UNA PUNO

misma plantilla, mientras que la externa exige, como condición esencial a la misma y de su credibilidad, que los profesionales que la realizan no formen parte de la empresa auditada, es decir, que sean totalmente independientes de ella y de sus cuadros directivos. El objetivo de la auditoría externa es expresar una opinión sobre los estados financieros de la empresa auditada, referida a un ejercicio determinado, mientras que los objetivos de la auditoría interna son múltiples y variados, no limitándose al área económica – financiera, porque la función de auditoría interna contempla todo el campo de operaciones y actividades de dicha empresa. Por último, la realización de los trabajos de auditoría externa se desarrolla de acuerdo con normas y procedimientos internacionales homologados que no suelen ser substancialmente alterados ni modificados, mientras que los procedimientos de auditoría interna son mucho más flexibles y dependen, en cada caso, de la empresa, sus dirigentes y de los propios responsables de auditoría interna.

AUDITORÍA DE CUMPLIMIENTO Es la comprobación o examen de operaciones financieras, administrativas, económicas y de otra índole de una entidad para establecer que se han realizado conforme a las normas legales, reglamentarias y de procedimientos que le son

AUDITORIA DE SISTEMAS

UNA PUNO

aplicables. Esta auditoría se practica mediante la revisión de documentos que soportan legal, técnica, financiera y contablemente las operaciones para determinar si los procedimientos utilizados y las medidas de control interno están de acuerdo con las normas que le son aplicables y si dichos procedimientos están operando de manera efectiva y son adecuados para el logro de los objetivos de la entidad. AUDITORÍA ADMINISTRATIVA Es el revisar y evaluar si los métodos, sistemas y procedimientos que se siguen en todas las faces del proceso administrativo aseguran el cumplimiento de políticas, planes, programas, leyes y reglas que puedan tener un impacto significativo en operación de los reportes y asegurar que la organización los esté cumpliendo y respetando. Es el examen metódico y ordenado de los objetivos de una empresa de su estructura orgánica y de la utilización del elemento humano a fin de informar los hechos investigados. Su importancia radica en el hecho de que proporciona a los ejecutivos de una organización un panorama sobre la forma que está siendo administrada esta labor por los diferentes niveles jerárquicos y operativos, señalando aciertos y desviaciones de aquellas áreas cuyos problemas administrativos detectados exigen una mayor o pronta atención. AUDITORÍA A DISTANCIA Es el proceso de verificación

del cumplimiento

de ciertos estándares

preestablecidos de manera remota a través de medios informáticos. Este tipo de proceso cumple con la definición genérica de auditoría. Este tipo de auditoría es aplicable cuando:  La organización se encuentra dividida geográficamente (divisiones, sucursales, oficinas, etc.), aunque también podría llevarse a cabo en una organización sin sucursales pero de gran tamaño.

AUDITORIA DE SISTEMAS

UNA PUNO

 Existe una estructura informática que permite que las distintas unidades se encuentran conectadas computacionalmente a través de redes o de alguna manera se tiene acceso de manera

centralizada a los registros de las

operaciones efectuadas por las sucursales. La auditoría a distancia se ha desarrollado con objeto de poder controlar a las unidades físicamente lejanas sin la

necesidad de desplazarse a dichas áreas. Permite una

importante disminución de los tiempos empleados en auditar estas unidades y los costos asociados. Ventajas:  Permite control permanente y expedito de las variables que requieren supervisión.  No es necesario desplazarse físicamente al lugar en que se encuentra el objeto auditado.  Importante ahorro de costos, tanto financieros como humanos.  Entrega señales de alerta respecto de las unidades con problemas.  Es posible tener una visión panorámica de la organización respecto de las variables controladas.  Las unidades son conscientes de la supervisión central por lo que debiera mejorar el desempeño. Desventajas:  Existen aspectos que pueden ser auditados a distancia, por lo que no se puede efectuar una auditoría integral.  Se produce una dependencia absoluta de los sistemas informáticos.  Sensación de control permanente puede incomodar al personal de las sucursales.  Se suprime el contacto cara a cara (auditor – auditado que muchas veces facilita la auditoría), por lo que se pierde la riqueza de las relaciones humanas ( o al menos se disminuye). Este tipo de auditoría puede aplicarse con los siguientes objetivos:

AUDITORIA DE SISTEMAS

UNA PUNO

Efectuar auditorias formales, periódicas y sistemáticas a las sucursales, filiales, ect. Puede determinarse un programa (anual, semestral, mensual, etc.) de auditoría a distancia que implique la revisión de aspectos específicos respecto a patrones preestablecidos. Se deben elaborar los resultados de estas revisiones. Obtener información sobre el desempeño de las distintas unidades para determinar cuales de éstas serán visitadas. El seguimiento de determinadas variables consideradas claves puede entregar información que sirva como entrada a la matriz de riesgo que determina que unidades serán consideradas para una visita a terreno. Monitorear aspectos operativos, contables, normativos, etc. de todas las sucursales, que desean ser mantenidos dentro de ciertos límites establecidos. Para conocer el desempeño de las distintas unidades, se puede efectuar un monitoreo periódico (diario por ejemplo) de determinadas variables, sin la necesidad de implicar una auditoría formal y solicitando de manera inmediata explicaciones respecto a desviaciones o excesos y acciones para su regularización. AUDITORÍA AMBIENTAL La creciente necesidad de controlar el impacto ambiental que generan las actividades humanas, ha provocado que en muchos sectores industriales se produzca un incremento de la sensibilización respecto al medio ambiente. Debido a esto, las empresas para asegurar el cumplimiento legislativo han dado paso a nuevos sistemas de gestión medioambientales que permiten estructurar e integrar todos los aspectos involucrados en sus procesos productivos, coordinando los esfuerzos que se realizan para lograr los objetivos planificados. Es entonces necesario analizar y conocer en todo momento los factores de contaminación que generan las actividades de la empresa, y por este motivo será necesario que dentro del equipo humano se disponga de personas calificadas para evaluar el posible impacto negativo en el medio ambiente y la sociedad. La aplicación permanente del concepto mejora continua, es un referente que en el campo

AUDITORIA DE SISTEMAS medioambiental

UNA PUNO

tiene una incidencia práctica constante, y por este motivo la

revisión de todos los aspectos relacionados con la minimización del impacto ambiental tiene que ser una acción realizada sin interrupción. AUDITORÍA COMPUTACIONAL Ó INFORMÁTICA Hoy, la importancia creciente de las telecomunicaciones ha llevado a que las comunicaciones, líneas y redes de instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de Sistemas De Información (SI). Su finalidad es examinar y analizar los procedimientos administrativos y los sistemas de control interno de la empresa auditada. Al finalizar el trabajo realizado, los auditores exponen en su informe aquellos puntos débiles que hayan podido detectar, así como las recomendaciones sobre los cambios convenientes a introducir al interior de la empresa. Normalmente, las empresas funcionan con políticas generales, pero hay procedimientos y métodos, que son más operativos y, por lo tanto, se podrían realizar las sugerencias propuestas por los auditores. Información: como recurso básico En el contexto de la organización moderna, la información puede ser definida como los datos que han sido recogidos, procesados, almacenados y recuperados con el propósito de tomar decisiones financieras y económicas o para el soporte de una producción y distribución eficientes de bienes y/o servicios. -

La información tiene que ser considerada como un recurso básico en una

-

organización, junto con los humanos, el capital, materias primas y equipos. Es importante y clave para la organización tanto para su supervivencia

-

como para mejorar su posicionamiento en la industria. Debe obtenerse a tiempo para su uso eficaz. Debe ser utilizada eficientemente para un retorno óptimo sobre su costo.

Clases de información

AUDITORIA DE SISTEMAS

UNA PUNO

a) Información estratégica; permite a la alta dirección definir los objetivos de la organización, la cantidad y clase de recursos necesarios para alcanzar los objetivos y las políticas que gobiernan su uso. La alta dirección tiene que tomar decisiones económicas importantes basadas en las condiciones de los cambiantes mercados e innovación tecnológica. Este tipo de información procede en su mayor parte de fuentes externas a la organización, en particular de su propio sector industrial y está relacionada con factores como cuota de mercado, elasticidad de la demanda, legislación y entorno político. En el caso de la planificación estratégica, el horizonte temporal de la información es mayor a un año. b) Información para el control de gestión; ayuda a los mandos medios especialmente a tomar decisiones en el período actual, normalmente un año, para que sean consistentes con los objetivos estratégicos, incluyendo comparaciones entre los resultados actuales y objetivos, presupuestos y medidas de rendimiento. c) Información técnica u operacional; es la información que se produce por rutina, día a día e incluye datos de contabilidad, control de inventario, programación de la producción, planificación de las necesidades de materiales, normas y gestión del personal, control del flujo de caja, logística, ingeniería, fabricación, recepción, distribución, ventas y todo el conjunto de operaciones

que

son

necesarias

para

mantener

la

empresa

en

funcionamiento. d) Información contable y financiera; es la información que se genera con el propósito de control e información financiera, este tipo de información se recoge de acuerdo con los Principios de Contabilidad Generalmente Aceptados y son aplicados por los profesionales contables. La información es valiosa en la toma de decisiones, ya que es ésta una de las tareas vitales que debe realizar un directivo organizacional. La calidad de las decisiones tomadas depende directamente de la calidad de la información que las soporta; estas decisiones requieren de un profundo conocimiento de las

AUDITORIA DE SISTEMAS

UNA PUNO

circunstancias que rodean un problema, conocimiento de las alternativas disponibles y estrategias competitivas. Atributos de la información  Completa: si la información se pierde u oculta a quién toma la decisión, el resultado de la decisión será pobre.  Exacta: errores en la entrada, conversión o procesos pueden dar como resultado conclusiones inválidas que darán lugar a decisiones erróneas.  Autorizada: la información puede ser semánticamente correcta, pero representar transacciones inválidas o no autorizadas.  Auditable: la información debe ser seguible a través de los documentos fuente o su ejecución seguida mediante sistemas de control monitoreados y pre-verificados.  Económica: el costo de producir la información debería no exceder su valor cuando se utiliza.  Adecuada: información específica debe estar disponible solamente para aquellos que la necesitan, para asegurar una gestión eficiente; demasiada información irrelevante a disposición de quién debe tomar la decisión puede ocultar el proceso.  Puntual: la información pierde su valor cuando llega a quién tiene que tomar la decisión, después de que la necesita.  Segura: la información debe ser protegida de su difusión a personas no autorizadas, sin ello puede dar lugar a pérdidas económicas en la organización; debe estar protegida contra destrucciones accidentales o voluntarias. Información: como un recurso crítico Los estudios realizados en varias universidades revelan que en los sectores financieros, fabricación y distribución, una caída total del computador entre tres y cuatro días puede dar lugar a grandes pérdidas en el negocio de la organización. Igualmente, la pérdida de confidencialidad en las bases de datos de investigación o en el plan estratégico, puede proporcionar a los competidores una ventaja definitiva.

AUDITORIA DE SISTEMAS a)

UNA PUNO

¿Está la información y los sistemas de información suficientemente protegidos?

La respuesta a esta pregunta descansa en las dos áreas de control de los sistemas de información más importantes; Plan de recuperación de desastres; muchas organizaciones no desean describir su estado de preparación para estos casos, las respuestas a encuestas sobre este tema muestran que son pocas las que están preparadas para estas circunstancias. Mecanismo de control de acceso lógicos y físicos; hay pocas estadísticas disponibles sobre el uso del software de control de acceso en cuanto a sus políticas de utilización y calidad de su administración. Una vez que se es consciente de que tal software puede ser instalado y utilizado de distintas maneras, es más evidente que poseer este software, por si mismo, no garantiza la seguridad sino que la administración es la clave del éxito. Aun cuando el software de control de acceso esté instalado y bien administrado, hay numerosas vías por las cuales, los programadores de sistemas desde dentro y los hackers desde fuera de la organización pueden burlar los mecanismos de seguridad. b)

¿Está considerara la información como un recurso crítico y es reconocido como tal por las organizaciones?

Las grandes organizaciones producen informes anuales con una gran variedad de documentos que tratan de reflejar la calidad y el dinamismo del equipo de dirección; Para asegurar la objetividad de estos informes está estipulado que un auditor externo independiente emita su opinión sobre la bondad de dichos informes que representan la actuación de la administración y que están elaborados de acuerdo con los Principios de Contabilidad Generalmente Aceptados por las organizaciones públicas responsables de estas actividades.

AUDITORIA DE SISTEMAS

UNA PUNO

Estos principios no tienen en cuenta el valor de la información ni aun la valoran como un activo intangible. El valor de la información, como un tangible, algunas veces activo irremplazable y más valioso que muchos de los otros activos, puede solamente ser estimado indirectamente por el impacto que su pérdida, destrucción o distribución no autorizada, que puede tener sobre las organizaciones. Los informes de los auditores no reconocen la información como un recurso crítico, excepto con relación a la información financiera. Esta información, sin embargo, es altamente vulnerable a muchos riesgos que están incontrolados en el caso de una organización. Un plan inadecuado de recuperación de desastres o programas de seguridad eficaces. Tales situaciones no serán informadas por el auditor externo, que adicionalmente podría rechazar y/o aceptar responsabilidades en el caso de que las cosas fueran realmente mal. Esta situación seria, cuando se considera que a menudo los auditores externos son la única forma de influir, independientemente, sobre la empresa. Finalmente la respuesta es que la información no se reconoce como un recurso crítico en los informes de las empresas. Aunque hay otros mecanismos de control como son el control de cambios de programas, el aseguramiento de calidad y políticas de seguridad y procedimientos, aquellos son los indicadores fundamentales de una adecuada protección.

2. SISTEMAS INFORMATICOS 3. SISTEMAS DE INFORMACIÓN “Un conjunto de componentes interrelacionados que reúne, procesa, almacena y distribuye información para apoyar la toma de decisiones y el control en una organización”. La información se obtiene luego de procesar los datos. Las

AUDITORIA DE SISTEMAS

UNA PUNO

actividades del sistema de información son: entrada, procesamiento y Salida de datos. La retroalimentación sirve para mejorar o controlar el funcionamiento. Los sistemas de información pueden ser formales (hay procedimientos) e informales (rumores, p.ej.). (Kosciuk, 2006). Sistema de información (SI) es un conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su posterior uso, generados para cubrir una necesidad (objetivo). Dichos elementos formarán parte de alguna de estas categorías: (Wikipedia, 2011).

Elementos de un sistema de información. 

Personas.



Datos.



Actividades o técnicas de trabajo.



Recursos materiales en general (típicamente recursos informáticos y de comunicación, aunque no tienen por qué ser de este tipo obligatoriamente). Todos estos elementos interactúan entre sí para procesar los datos

(incluyendo procesos manuales y automáticos) dando lugar a información más elaborada y distribuyéndola de la manera más adecuada posible en una determinada organización en función de sus objetivos. (Wikipedia, 2011).

AUDITORIA DE SISTEMAS

UNA PUNO

Normalmente el término es usado de manera errónea como sinónimo de sistema de información informático, en parte porque en la mayoría de los casos los recursos materiales de un sistema de información están constituidos casi en su totalidad por sistemas informáticos, pero siendo estrictos, un sistema de información no tiene por qué disponer de dichos recursos (aunque en la práctica esto no suela ocurrir). Se podría decir entonces que los sistemas de información informáticos son una subclase o un subconjunto de los sistemas de información en general. (Wikipedia, 2011). 1.1 CONCEPTO GENERAL DE SISTEMAS DE INFORMACIÓN. Hasta el momento hemos contextualizado a la información dentro de la Ciencia de la Administración, y a su vez dentro de la planificación y de la toma de decisiones como la conversión de la información en acción. Además hemos implicado al conjunto de la organización como un todo capaz de vertebrar las necesidades de información de todos los elementos que conforman una empresa. A partir de ahora introduciremos al alumno en el concepto general de sistemas de información, para desde ahí aplicarlo a los sistemas de información en la empresa. Horton entiende por sistema una serie estructurada o integrada de procesos para manejar información o datos caracterizados por un procesamiento repetitivo de inputs, actualización de datos y generación de outputs. Un modelo general contemplado es el que ofrece el profesor López Yepes, que diferencia tres modelos: (LÓPEZ, 1991). 

Modelo A. Que contempla desde una perspectiva general y cuyo estudio es utilizado para el desarrollo del resto de modelos. Yepes cita a Debons que lo denomina sistema de información generalizada, que es un modelo compuesto de: Entorno. Adquisición de datos, transmisión, proceso, almacenamiento, utilización y transferencia.

AUDITORIA DE SISTEMAS 

UNA PUNO

Modelo B. Es un subsistema dentro de las organizaciones. Destaca los sistemas de información para la gestión (MIS) y los sistemas de gestión de información.



Modelo C. Es el "resultado de la conjunción de redes y centros de información, enmarcado en las políticas nacionales y territoriales de información. En este sentido el sistema actúa bajo el principio de la centralización, y la red bajo el principio de coordinación de centros en que, por delegación, se invisten de determinada responsabilidad en la recolección y difusión de fuentes".

El objeto de cualquier sistema de información es conectar a un usuario con una fuente de información que necesita para satisfacer sus necesidades. Mientras para otros, sistema es un conjunto de componentes que interactúan entre sí para lograr un objetivo común, y desde esta perspectiva toda organización es un sistema definido por flujos informativos. (SENN, 1992). 1.2 LOS SISTEMAS DE INFORMACIÓN EN LA EMPRESA. Frecuentemente se ha utilizado el término informatización como sinónimo de sistemas de información. Y aunque la mayoría de los autores están de acuerdo en asumir que un sistema de información requiere un adecuado proceso de informatización, lo que también está claro es que no en todos los casos la construcción de un sistema de información lleva aparejado el uso de tecnologías de la información (CHAIN, 1997). Sin embargo, asumimos que hoy en día cualquier sistema de información, por pequeño que sea requiere de unos mínimos procesos de automatización. 1.3 CICLO DE VIDA DE LOS SISTEMAS DE INFORMACIÓN Existen pautas básicas para el desarrollo de un SI para una organización:

AUDITORIA DE SISTEMAS 

UNA PUNO

Conocimiento de la Organización: analizar y conocer todos los sistemas que forman parte de la organización, así como los futuros usuarios del SI. En las empresas (fin de lucro presente), se analiza el proceso de negocio y los procesos transaccionales a los que dará soporte el SI.



Identificación de problemas y oportunidades: el segundo paso es relevar las situaciones que tiene la organización y de las cuales se puede sacar una ventaja competitiva(Por ejemplo: una empresa con un personal capacitado en manejo informático reduce el costo de capacitación de los usuarios), así como las situaciones desventajosas o limitaciones que hay que sortear o que tomar en cuenta(Por ejemplo: el edificio de una empresa que cuenta con un espacio muy reducido y no permitirá instalar más de dos computadoras).



Determinar las necesidades: este proceso también se denomina licitación de requerimientos. En el mismo, se procede identificar a través de algún método de recolección de información (el que más se ajuste a cada caso) la información relevante para el SI que se propondrá.



Diagnóstico: En este paso se elabora un informe resaltando los aspectos positivos y negativos de la organización. Este informe formará parte de la propuesta del SI y, también, será tomado en cuenta a la hora del diseño.



Propuesta: contando ya con toda la información necesaria acerca de la organización es posible elaborar una propuesta formal dirigida hacia la organización donde se detalle el presupuesto, relación costo-beneficio, presentación del proyecto de desarrollo del SI.



Diseño del sistema: Una vez aprobado el proyecto, se comienza con la elaboración del diseño lógico del SI; la misma incluye el diseño del flujo de la información dentro del sistema, los procesos que se realizarán dentro del sistema, etc. En este paso es importante seleccionar la plataforma donde se apoyará el SI y el lenguaje de programación a utilizar.

AUDITORIA DE SISTEMAS 

UNA PUNO

Codificación: con el algoritmo ya diseñado, se procede a su reescritura en un lenguaje de programación establecido (programación), es decir, en códigos que la máquina pueda interpretar y ejecutar.



Implementación: Este paso consta de todas las actividades requeridas para la instalación de los equipos informáticos, redes y la instalación del programa generado en el paso anterior.



Mantenimiento: proceso de retroalimentación, a través del cual se puede solicitar la corrección, el mejoramiento o la adaptación del SI ya creado a otro entorno. Este paso incluye el soporte técnico acordado anteriormente. (Wikipedia, 2011).

1.4 ACTIVIDADES QUE REALIZA UN SISTEMA DE INFORMACIÓN:  Entrada de Información: Es el proceso mediante el cual el Sistema de Información toma los datos que requiere para procesar la información. Las entradas pueden ser manuales o automáticas. Las manuales son aquellas que se proporcionan en forma directa por el usuario, mientras que las automáticas son datos o información que provienen o son tomados de otros sistemas o módulos. Esto último se denomina interfases automáticas. Por ejemplo: 

Datos generales del cliente: nombre, dirección, tipo de cliente, etc.



Políticas de créditos: límite de crédito, plazo de pago, etc.



Facturas (interfase automático).



Pagos, depuraciones, etc.

Las unidades típicas de entrada de datos a las computadoras son las terminales, las cintas magnéticas, las unidades de diskette, los códigos de barras, los escáners, la voz, los monitores sensibles al tacto, el teclado y el mouse, entre otras.

AUDITORIA DE SISTEMAS

UNA PUNO

 Almacenamiento de información: El almacenamiento es una de las actividades o capacidades más importantes que tiene una computadora, ya que a través de esta propiedad el sistema puede recordar la información guardada en la sección o proceso anterior. Esta información suele ser almacenada en estructuras de información denominadas archivos. La unidad típica de almacenamiento son los discos magnéticos o discos duros, los discos flexibles o diskettes y los discos compactos (CD-ROM). Por ejemplo: 

Movimientos del mes (pagos, depuraciones).



Catálogo de clientes.



Facturas.

Procesamiento de Información: Es la capacidad del Sistema de Información para efectuar cálculos de acuerdo con una secuencia de operaciones preestablecida. Estos cálculos pueden efectuarse con datos introducidos recientemente en el sistema o bien con datos que están almacenados. Esta característica de los sistemas permite la transformación de datos fuente en información que puede ser utilizada para la toma de decisiones, lo que hace posible, entre otras cosas, que un tomador de decisiones genere una proyección financiera a partir de los datos que contiene un estado de resultados o un balance general de un año base. Por ejemplo: 

Cálculo de antigüedad de saldos.



Cálculo de intereses moratorios.



Cálculo del saldo de un cliente.

Salida de Información: La salida es la capacidad de un Sistema de Información para sacar la información procesada o bien datos de entrada al exterior. Las unidades típicas de

AUDITORIA DE SISTEMAS

UNA PUNO

salida son las impresoras, terminales, diskettes, cintas magnéticas, la voz, los graficadores y los plotters, entre otros. Es importante aclarar que la salida de un Sistema de Información puede constituir la entrada a otro Sistema de Información o módulo. En este caso, también existe una interfase automática de salida. Por ejemplo, el Sistema de Control de Clientes tiene una interfase automática de salida con el Sistema de Contabilidad, ya que genera las pólizas contables de los movimientos procesales de los clientes. Por ejemplo:

1.5

EL



Reporte de pagos.



Estados de cuenta.



Pólizas contables (interfase automática)

CONTEXTO

DE

LA

EMPRESA

Y

SUS

NECESIDADES

DE

INFORMACIÓN Para comprender bien qué objetivos tiene un sistema de información y cómo debe funcionar, hay que entender también dos conceptos relativos al contexto, o medio ambiente, en el que se inserta una empresa. Nos referimos al conjunto de factores que le afectan, donde existen amenazas que pueden perjudicar o destruir una empresa, y oportunidades que pueden incrementar las cualidades de la misma. Enlazamos, aquí, con algunas nociones aportadas en el apartado referente a la información como recurso intangible. Tenemos, así, por un lado: A. El medio ambiente interno o aquellos "factores, como el personal, la estructura, sus políticas y recompensas, que ejercen influencia en la manera de realizar el trabajo y de conseguir los objetivos" (IVANCEVICH, 1997) B. y por otro el medio ambiente externo, más complejo en tanto que conforma factores ajenos al dominio interno de los gestores, y por tanto requiere una

AUDITORIA DE SISTEMAS

UNA PUNO

vigilancia permanente. A su vez, este medio ambiente externo tiene una doble estructura (IVANCEVICH, 1997): 

Medio ambiente externo remoto, como el clima político, la situación económica, las tendencias sociales, o las innovaciones tecnológicas.



Y el Medio ambiente externo inmediato, formado por clientes, proveedores,

distribuidores,

competidores,

financiadores

y

reguladores. Observaremos éste medio ambiente externo como un modelo de necesidades de información que los gestores de una empresa deben obligatoriamente controlar para una eficaz toma de decisiones y cuyos recursos de información, ya sean éstos vistos como fuentes de información, servicios de información o sistemas de información, deben ser incorporados al sistema de información empresarial como importantes recursos para la toma de decisiones. 1.6 DEL SISTEMA DE INFORMACIÓN EN LA ORGANIZACIÓN, A LA ORGANIZACIÓN COMO SISTEMA DE INFORMACIÓN  La organización. En líneas generales, una organización es cualquier institución compuesta de recursos, cuya combinación, permite alcanzar una serie de objetivos. El ser humano vive y se relaciona dentro de organizaciones, lo que ha dado lugar a que nuestra sociedad haya sido denominada "burocrática" u "organizacional". (PRESTHUS, 1991). Las organizaciones pueden ser definidas por sus estructuras, formadas por múltiples canales y normas. La organización es un complejo de canales a través de los cuales los productos, servicios, recursos y flujos de información transitan de un punto a otro dentro de la organización, y también entre la organización y su entorno (CHAIN, 1997).

AUDITORIA DE SISTEMAS

UNA PUNO

La estructura de la organización "es el entramado de puestos de trabajo y departamentos que orienta la conducta de los individuos y grupos hacia la consecución de los objetivos de la organización".(IVANCEVICH, 1997). 1.7 TIPOS DE SISTEMAS DE INFORMACION: Realizada la aclaración anterior, asumimos que la aplicación de los sistemas de información al ámbito de la empresa, aunque puede orientarse a cualquier tipo de organización, incluye los siguientes tipos: 1.7.1 Sistemas de Información Estratégicos Puede ser considerado como el uso de la tecnología de la información para soportar o dar forma a la estrategia competitiva de la organización, a su plan para incrementar o mantener la ventaja competitiva o bien reducir la ventaja de sus competidores. (Wikipedia, 2011). Su función primordial es crear una diferencia con respecto a los competidores de la organización (o salvar dicha diferencia) que hagan más atractiva a ésta para los potenciales clientes. Por ejemplo, en la banca, hace años que se implantaron los cajeros automáticos, pero en su día, las entidades que primero ofrecieron este servicios disponían de una ventaja con respecto a sus competidores, y hoy día cualquier entidad que pretenda ofrecer servicios bancarios necesita contar con cajeros automáticos si no quiere partir con una desventaja con respecto al resto de entidades de este sector. En este sentido, los cajeros automáticos se pueden considerar sistemas de información estratégicos. (Wikipedia, 2011). Su función es lograr ventajas que los competidores no posean, tales como ventajas en costos y servicios diferenciados con clientes y proveedores. Apoyan el proceso de innovación de productos dentro de la empresa. Suelen desarrollarse dentro de la organización, por lo tanto no pueden adaptarse fácilmente a paquetes

AUDITORIA DE SISTEMAS

UNA PUNO

disponibles en el mercado. Entre las características más destacables de estos sistemas se pueden señalar: (Wikipedia, 2011). 

Cambian significativamente el desempeño de un negocio al medirse por uno o más indicadores clave, entre ellos, la magnitud del impacto.



Contribuyen al logro de una meta estratégica.



Generan cambios fundamentales en la forma de dirigir una compañía, la forma en que compite o en la que interactúa con clientes y proveedores. (Wikipedia, 2011).

1.7.2 Sistemas Experto (SE) Es una aplicación informática capaz de solucionar un conjunto de problemas que exigen un gran conocimiento sobre un determinado tema. Un sistema experto es un conjunto de programas que, sobre una base de conocimientos, posee información de uno o más expertos en un área específica. Se puede entender como una rama de la inteligencia artificial, donde el poder de resolución de un problema en un programa de computadora viene del conocimiento de un dominio específico. Estos sistemas imitan las actividades de un humano para resolver problemas de distinta índole (no necesariamente tiene que ser de inteligencia artificial). También se dice que un SE se basa en el conocimiento declarativo (hechos sobre objetos, situaciones) y el conocimiento de control (información sobre el seguimiento de una acción). (Wikipedia, 2011). Para que un sistema experto sea herramienta efectiva, los usuarios deben interactuar de una forma fácil, reuniendo dos capacidades para poder cumplirlo: (Wikipedia, 2011).

AUDITORIA DE SISTEMAS

UNA PUNO

1. Explicar sus razonamientos o base del conocimiento: los sistemas expertos se deben realizar siguiendo ciertas reglas o pasos comprensibles de manera que se pueda generar la explicación para cada una de estas reglas, que a la vez se basan en hechos. 2. Adquisición de nuevos conocimientos o integrador del sistema: son mecanismos de razonamiento que sirven para modificar los conocimientos anteriores. Sobre la base de lo anterior se puede decir que los sistemas expertos son el producto de investigaciones en el campo de la inteligencia artificial ya que ésta no intenta sustituir a los expertos humanos, sino que se desea ayudarlos a realizar con más rapidez y eficacia todas las tareas que realiza. Debido a esto en la actualidad se están mezclando diferentes técnicas o aplicaciones aprovechando las ventajas que cada una de estas ofrece para poder tener empresas más seguras. Un ejemplo de estas técnicas sería los agentes que tienen la capacidad de negociar y navegar a través de recursos en línea; y es por eso que en la actualidad juega un papel preponderante en los sistemas expertos. (Wikipedia, 2011). Ventajas y limitaciones de los Sistemas Expertos  Ventajas 

Permanencia: A diferencia de un experto humano un SE (sistema experto) no envejece, y por tanto no sufre pérdida de facultades con el paso del tiempo.



Replicación: Una vez programado un SE lo podemos replicar infinidad de veces.



Rapidez: Un SE puede obtener información de una base de datos y realizar cálculos numéricos mucho más rápido que cualquier ser humano.

AUDITORIA DE SISTEMAS 

UNA PUNO

Bajo costo: A pesar de que el costo inicial pueda ser elevado, gracias a la capacidad de duplicación el coste finalmente es bajo.



Entornos peligrosos: Un SE puede trabajar en entornos peligrosos o dañinos para el ser humano.



Fiabilidad: Los SE no se ven afectados por condiciones externas, un humano sí (cansancio, presión, etc.).



Consolidar varios conocimientos.



Apoyo Académico. (Wikipedia, 2011).

 Limitaciones 

Sentido común: Para un Sistema Experto no hay nada obvio. Por ejemplo, un sistema experto sobre medicina podría admitir que un hombre lleva 40 meses embarazado, a no ser que se especifique que esto no es posible ya que un hombre no puede gestar hijos.



Lenguaje natural: Con un experto humano podemos mantener una conversación informal mientras que con un SE no podemos.



Capacidad de aprendizaje: Cualquier persona aprende con relativa facilidad de sus errores y de errores ajenos, que un SE haga esto es muy complicado.



Perspectiva global: Un experto humano es capaz de distinguir cuales son las cuestiones relevantes de un problema y separarlas de cuestiones secundarias.



Capacidad sensorial: Un SE carece de sentidos.



Flexibilidad: Un humano es sumamente flexible a la hora de aceptar datos para la resolución de un problema.

AUDITORIA DE SISTEMAS 

UNA PUNO

Conocimiento no estructurado: Un SE no es capaz de manejar conocimiento poco estructurado. (Wikipedia, 2011).

1.7.3 Sistemas de información para la gestión (mis). Los Sistemas de Información para la Gestión son un conjunto de herramientas que combinan las tecnologías de la información (hardware + software) con procedimientos que permitan suministrar información a los gestores de una organización para la toma de decisiones.

Podemos afirmar que estos sistemas se componen de tres funciones; la recopilación de datos, tanto internos como externos; el almacenamiento y procesamiento de información; y la transmisión de información a los gestores. Parece que el uso de los sistemas de información para la gestión dejaban incompletas las necesidades informativas de los gestores de las empresas, surgiendo, así, distintos sistemas para la toma de decisiones. Describiremos los Sistemas Soporte a la Decisión, y los Sistemas de Información para Ejecutivos. 1.7.4 Sistemas soporte a la decisión (dss). Para Gil Pechuan el concepto de sistema de ayuda a la toma de decisiones se desarrolla por la confluencia de muy distintas áreas de conocimiento, cuyas aportaciones modelan el concepto final de DSS. De tal manera que el marco teórico procede de las ciencias empresariales; de la informática, que hace uso de sistemas de gestión de bases de datos; de la ergonomía que aporta la necesidad de crear interfaces que permitan que un

AUDITORIA DE SISTEMAS

UNA PUNO

usuario utilice una herramienta con el menor esfuerzo posible; y del análisis de decisiones. (GIL, 1997). Han sido muchos los autores que han realizado sus aportaciones al concepto de DSS. Incidiremos sólo en algunos de ellos, que nos permitan clarificar el concepto. 1.7.5 Sistemas de información para ejecutivos (eis). Los EIS's han sido confundidos en sus orígenes con los DSS's. Para Gil Pechuan dicho problema se ha debido a la confusión existente sobre a qué tipo de nivel directivo iban enfocados cada uno. Los EIS's orientados a la alta dirección aparecen cuando los ejecutivos de las compañías requieren datos para tomar decisiones pero no pueden dedicar tiempo para extraer la que necesitan del conjunto total recibido. (FRIEND, 1998). Distintos autores han establecido el marco teórico de los EIS's. Nos aproximamos al conocimiento del EIS , a través de la definición dada por varios autores. Para Bird, es un "software, con un sistema de recuperación amigable que provee información electrónica a los directivos con un acceso rápido a la información que forma parte de las áreas clave de la empresa, ayudando a realizar las actividades de gestión para conseguir los objetivos de la empresa". (BIRD, 1992). Para definir con mayor exactitud qué es un Sistema de Información para Ejecutivos, enumeramos las características que le son propias: 

Estar personalizado al ejecutivo como individuo.



Extraer, filtrar, consolidar y visualizar los datos críticos.



Acceder en tiempo real a las variables que definen el estado de la empresa.

AUDITORIA DE SISTEMAS

UNA PUNO



Visualizar tendencias y suministrar informes de incidencias.



Mecanismos de alarma, para atraer la atención del usuario, ante desviaciones importantes de las variables críticas.



Interface amigable con el usuario, que necesita de un mínimo entrenamiento para su uso. Usado directamente por los ejecutivos, sin intermediarios.



Presenta la información que incorpora, simultáneamente, gráficos, tablas, textos y sonidos. (GIL, 1997).

Hemos de resaltar que no siempre se consigue diferenciar técnicamente qué es un DSS y qué es un EIS, de manera que más bien las diferencias vienen reguladas por el tipo de decisiones que soportan. Así, pensamos que un DSS asume decisiones estructuradas, es decir problemas claramente formalizados; mientras los EIS asumen aquella categoría de decisiones que habíamos descrito como no programables o intuitivas. De cualquier manera, tanto uno como otro, requieren el uso de recursos de información, tanto formales como informales, y de información procedente tanto del exterior de la organización como del interior de la misma. 1.7.6 SISTEMAS DE APOYO A EJECUTIVOS Dentro de una organización existen personas que participan de forma directa e indirecta en las reuniones para la toma de decisiones, son personas con peso en su opinión; estas personas por lo regular son los que llamamos ejecutivos de una organización, y son quienes buscan tomar decisiones enfocadas al éxito de la empresa. Los sistemas de apoyo a ejecutivos, son creados específicamente a la alta dirección, posicionándose en un factor clave, debido a que buscan que se pueda observar, monitorear y dar seguimiento a los factores críticos para el éxito de la organización. Entrelazan información interna y externa de la empresa, planteando un panorama completo para la toma correcta de decisiones. Es ahí

AUDITORIA DE SISTEMAS

UNA PUNO

donde la información proporcionada o suministrada, juega un papel importante debido a que un sistema que apoye directamente a los altos ejecutivos, le permitirá mejorar su panorama para dirigir a la organización. El sistema de apoyo a ejecutivos, debe contar con ciertas características para que sea efectivo, dentro de ellas están:  Buscar cubrir las necesidades particulares de la alta administración.  Filtrar y dar seguimiento a la información crítica de la organización.  Se debe desarrollar información por gráficas y tabulares de alta calidad.  La información debe estar accesible en línea. Adicionalmente, a las anteriores características es necesario que se cumplan algunos factores como por ejemplo, que la información suministrada se vea bien; que sea relevante; rápida; y que información esté disponible y actualizada. Estos sistemas de apoyo, constituyen una herramienta muy útil para la toma de decisiones, sin embargo, no significa que por tener los sistemas más avanzados tecnológicamente se tomarán buenas decisiones, o que guiará a la empresa hacia el éxito. 1.7.7 SISTEMAS DE INFORMACIÓN PARA EJECUTIVOS (EXECUTIVE INFORMATION SYSTEM, EIS) Un SIE (EIS por sus siglas en ingles) es un sistema de información para directivos que permite automatizar la labor de obtener los datos más importantes de una organización, resumirlos y presentarlos de la forma más comprensible posible, provee al ejecutivo acceso fácil a información interna y externa al negocio con el fin de dar seguimiento a los factores críticos del éxito. (Gestiopolis, 2011). Los SIE (EIS) se enfocan primordialmente a proporcionar información de la situación actual de la compañía y dejan en un plano secundario la visualización o proyección de esta información en escenarios futuros. (Gestiopolis, 2011).

AUDITORIA DE SISTEMAS

UNA PUNO

En un entorno característico de sistemas de información, el sistema consolida y administra muchas de las funciones de información diarias en relación con las áreas de oficina, administrativas, financieras y cualquier otra índole que el ejecutivo requiera. (Gestiopolis, 2011). Los SIE se construyen generalmente mediante la integración de software diseñado para operar conjuntamente con la infraestructura y las aplicaciones de información existentes en la institución. (Gestiopolis, 2011). El sistema debiera ofrecer informes y análisis de la información en tiempo real a toda la organización, debe incluir cuadros, gráficas e informes fáciles de leer, sobre todo información intuitiva que permita a los administradores realizar el seguimiento de indicadores críticos. (Gestiopolis, 2011). Los SIE debieran proporcionar acceso a la administración a categorías claves de datos relevantes, como son los datos internos creados por la organización, datos globales de la institución, datos externos (incluida información acerca de la competencia) y datos mundiales (con el uso de fuentes como Internet). (Gestiopolis, 2011). El uso de SIE ha permitido a muchas organizaciones

comparar datos

claves con los de sus competidores. (Gestiopolis, 2011). Es recomendable que los SIE incluyan una variedad de informes ordinarios incorporados, y las herramientas del sistema debieran permitir a los usuarios de administración crear informes especialmente diseñados que puedan enviarse a otra estación de trabajo o directamente a una impresora. (Gestiopolis, 2011). Características de un EIS: Un buen sistema de información para ejecutivos presenta información en forma de gráficos, columnas y textos. (Gestiopolis, 2011). La capacidad para hacer gráficos se necesita para facilitar en el análisis rápido de las condiciones y tendencias corrientes; las tablas presentan mayor

AUDITORIA DE SISTEMAS

UNA PUNO

detalle y permiten el análisis de variaciones; la información de textos añade interpretaciones y detalles de los datos. (Gestiopolis, 2011). Las principales características de los sistemas de información para ejecutivos (EIS) son las siguientes: (Gestiopolis, 2011). 

Están diseñados para cubrir las necesidades específicas y particulares de la alta administración de la empresa.



Extraen, filtran, comprimen y dan seguimiento a información crítica del negocio.



Implica que los ejecutivos puedan interactuar en forma directa con el sistema sin el apoyo o auxilio de intermediarios.



Es un sistema desarrollado con altos estándares en sus interfases hombre-maquina, caracterizado por gráficas de alta calidad, información tabular y en forma de texto.



Pueden acceder a información que se encuentra en línea, extrayéndose en forma directa de las bases de datos de la organización.



El sistema está soportado por elementos especializados de hardware, tales como monitores o videos de alta resolución y sensibles al tacto, ratón e impresoras con tecnología avanzada.

Existe una serie de productos de software al alcance de todos para la planificación estratégica, diseñados para capacitar y ayudar a los administradores con la planificación estratégica.(Gestiopolis, 2011). 1.7.8 Sistema de procesamiento de transacciones Un sistema de procesamiento de transacciones (TPS por sus siglas en inglés) es un tipo de sistema de información. Un TPS recolecta, almacena, modifica y recupera toda la información generada por las transacciones producidas en una organización. Una transacción es un evento que genera o

AUDITORIA DE SISTEMAS

UNA PUNO

modifica los datos que se encuentran eventualmente almacenados en un sistema de información. Para que un sistema informático pueda ser considerado como un TPS, este debe superar el test ACID. (Wikipedia, 2011). Desde un punto de vista técnico, un TPS monitoriza los programas transaccionales (un tipo especial de programas). La base de un programa transaccional está en que gestiona los datos de forma que estos deben ser siempre consistentes (por ejemplo, si se realiza un pago con una tarjeta electrónica, la cantidad de dinero de la cuenta sobre la que realiza el cargo debe disminuir en la misma cantidad que la cuenta que recibe el pago, de no ser así, ninguna de las dos cuentas se modificará), si durante el transcurso de una transacción ocurriese algún error, el TPS debe poder deshacer las operaciones realizadas hasta ese instante. Si bien este tipo de integridad es que debe presentar cualquier operación de procesamiento de transacciones por lotes, es particularmente importante para el procesamiento de transacciones on-line: si, por ejemplo, un sistema de reserva de billetes de una línea aérea es utilizado simultáneamente por varios operadores, tras encontrar un asiento vacío, los datos sobre la reserva de dicho asiento deben ser bloqueados hasta que la reserva se realice, de no ser así, otro operador podría tener la impresión de que dicho asiento está libre cuando en realidad está siendo reservado en ese mismo instante. Sin las debidas precauciones, en una transacción podría ocurrir una reserva doble. Otra función de los monitores de transacciones es la detección y resolución de interbloqueos (deadlock), y cortar transacciones para recuperar el sistema en caso de fallos masivos. (Wikipedia, 2011). Los sistemas de procesamiento de transacciones son sistemas de información encargados de procesar gran cantidad de transacciones rutinarias, es decir son todas aquellas que se realizan rutinariamente en la empresa entre estas tenemos el pago de nomina, facturación, entrega de mercancía y deposito de cheques. Estas transacciones varían de acuerdo al tipo de empresa. (Mitecnologico, 2011).

AUDITORIA DE SISTEMAS

UNA PUNO

Los sistemas de procesamiento de transacción o TPS (transacción procesation system) por sus siglas en ingles, eliminan el trabajo tedioso de las transacciones operacionales y como resultado reducen el tiempo que se empleaba en ejecutarlas actualmente, aunque los usuarios todavía deben alimentar de datos a los TPS. (Mitecnologico, 2011). “Los sistemas de procesamiento de transacciones son sistemas que traspasan sistemas y que permiten que la organización interactué con ambientes externos. Debido a que los administradores consultan los datos generados por el TPS para información al minuto acerca de lo que está pasando en sus compañías, es esencial para las operaciones diarias que estos sistemas funcionen lentamente y sin interrupción”. (Mitecnologico, 2011). Características de los sistemas de procesamiento de transacciones  Respuesta rápida En este tipo de sistemas resulta crítico que exista un rendimiento elevado con tiempos de respuesta cortos. Una empresa no puede permitirse tener clientes esperando por una respuesta del SPT; el tiempo total transcurrido desde que se inicia la transacción hasta que se produce la salida correspondiente debe ser del orden de unos pocos segundos o menos. (Wikipedia, 2011).  Fiabilidad Muchas organizaciones basan su fiabilidad en los SPT; un fallo en un SPT afectará negativamente a las operaciones o incluso parará totalmente el negocio. Para que un SPT sea efectivo, su tasa de fallos debe ser muy baja. En caso de fallo de un SPT, debe existir algún mecanismo que permita una recuperación rápida y precisa del sistema. Esto convierte en esencial la existencia procedimientos de copia de seguridad y de recuperación ante fallos correctamente diseñados. (Wikipedia, 2011).  Inflexibilidad

AUDITORIA DE SISTEMAS Un

SPT requiere

UNA PUNO que

todas las transacciones

sean

procesadas

exactamente de la misma forma, independientemente del usuario, el cliente o la hora del día. Si los SPT fuesen flexibles, habría entonces demasiadas posibilidades de ejecutar operaciones no estándar. Por ejemplo, una aerolínea comercial necesita aceptar de forma consistente reservas de vuelos realizadas por un gran número de agencias de viaje distintas; aceptar distintos datos de transacción de cada agencia de viajes supondría un problema. (Wikipedia, 2011).  Procesamiento controlado El procesamiento en un SPT debe apoyar las operaciones de la organización.

Por

ejemplo,

si

una

organización

establece

roles

y

responsabilidades para determinados empleados, el SPT debe entonces mantener y reforzar este requisito. (Wikipedia, 2011). Propiedades ACID:  Atomicidad Los cambios de estado provocados por una transacción son atómicos: o bien ocurren todos o bien no ocurre ninguno. Estos cambios incluyen tanto modificaciones de la base de datos, como envío de mensajes o acciones sobre los transductores. (Wikipedia, 2011).  Consistencia Una transacción es una transformación de estado correcta. Las acciones consideradas en su conjunto no violan ninguna de las restricciones de integridad asociadas al estado. Esto implica que la transacción debe ser un programa correcto. (Wikipedia, 2011).  Aislamiento

AUDITORIA DE SISTEMAS

UNA PUNO

Incluso cuando varias transacciones se ejecuten de forma concurrente, para cada transacción T debe parecer que el resto de transacciones se han ejecutado antes o después de T, pero no antes y después. (Wikipedia, 2011).  Durabilidad Una vez que una transacción ha finalizado con éxito (compromiso), cambia hacia un estado estable a prueba de fallos. (Wikipedia, 2011). 1.7.9 Sistemas de Información Expertos Son programas de computación que se derivan de una rama de la investigación informática llamada Inteligencia Artificial (IA). El objetivo científico de la IA es entender la inteligencia. Está referida a los conceptos y a los métodos de inferencia simbólica, o de razonamiento por computadora, y cómo el conocimiento usado para hacer esas inferencias será representado dentro de la máquina. El término inteligencia cubre muchas habilidades conocidas, incluyendo la capacidad de solucionar problemas, de aprender y de entender lenguajes; la IA dirige todas estas habilidades. La mayoría de los esfuerzos en IA se han hecho en el área de solucionar los problemas, los conceptos y los métodos para construir los programas que razonan acerca de los problemas y que luego calculan una solución. Los programas de IA que logran la capacidad experta de solucionar problemas aplicando las tareas específicas del conocimiento se llaman Sistemas Basado en Conocimiento o Sistemas Expertos. A menudo, el término sistemas expertos se reserva para los programas que contienen el conocimiento usado por los humanos expertos, en contraste al conocimiento recolectado por los libros de textos. Los términos, sistemas expertos (ES) y sistemas basados en conocimiento (KBS), se utilizan como sinónimos. Tomados juntos representan el tipo más extenso de aplicación de IA. El área del conocimiento intelectual humano para ser capturado en un sistema experto se llama el dominio de la tarea. La tarea se refiere a una cierta

AUDITORIA DE SISTEMAS

UNA PUNO

meta orientada, actividad de solucionar el problema. El dominio se refiere al área dentro de la cual se está realizando la tarea. Las tareas típicas son el diagnóstico, hojas de operación (planning), la programación, configuración y diseño. Un ejemplo de dominio de una tarea es la programación del equipo de un avión. La construcción de un sistema experto se llama ingeniería del conocimiento y sus médicos son los ingenieros del conocimiento. El ingeniero del conocimiento debe cerciorarse de que el ordenador tenga todo el conocimiento necesario para solucionar un problema. También debe elegir una o más formas en las cuales representar el conocimiento requerido en la memoria del ordenador, es decir, él debe elegir una representación del conocimiento. Él debe también asegurarse de que la computadora pueda utilizar eficientemente el conocimiento, seleccionando de un conjunto de métodos de razonamiento. (KNOWLEDGE, 1993). 1.8 Seguridad y control de sistemas de información 1.8.1 Vulnerabilidad y abuso de sistemas Fallos de hardware, software, incendio, problemas eléctricos, errores del usuario, acciones del personal, penetración por terminales, cambios de programas, robo de datos, servicios, equipo, etc. Los sistemas de información son especialmente vulnerables por:  Un sistema de información complejo no se puede reproducir manualmente.  Los procedimientos computarizados son invisibles y no es fácil entenderlos ni auditarlos. (Kosciuk, 2006).  Aunque la probabilidad de que ocurra un desastre no es mayor, las consecuencias pueden ser mucho mayores que en un sistema manual.  Hackers y virus de computadoras

AUDITORIA DE SISTEMAS

UNA PUNO

Un hacker es la persona que obtiene acceso no autorizado a una red de computadoras, para causar daños, o por placer personal. (Kosciuk, 2006).  Preocupaciones de los constructores y usuarios de sistemas Sistemas de computación que toleran fallos. Sistemas que contienen componentes adicionales de hardware y alimentación de energía, que pueden respaldar un sistema y mantenerlo en operación para evitar que falle. Seguridad Se refiere a políticas, procedimientos y medidas técnicas que se aplican para evitar el acceso no autorizado, la alteración, el robo, o los daños físicos de los sistemas de información. (Kosciuk, 2006).  Errores Las PC también pueden actuar como instrumentos de error, al alterar gravemente o destruir los expedientes de una organización. 1.8.2 Problemas de calidad de los sistemas: software y datos  Errores y defectos de software Las bugs son defectos y errores en el código de un programa. Eliminar todos los bugs es imposible. La pesadilla del mantenimiento Otra razón por la que los sistemas no son falibles es que el software de computadora siempre ha sido muy difícil de mantener. El mantenimiento, es decir, el proceso de modificar un proceso que se halla en producción, es la parte más costosa del proceso de desarrollo de sistemas.  Problemas de calidad de datos Datos inexactos, atrasados o que no concuerdan con otras fuentes de información pueden crear problemas operativos y financieros graves para los negocios. La mala calidad de los datos puede deberse a errores durante la introducción de datos o a defectos en el diseño  Creación de un entorno de control

AUDITORIA DE SISTEMAS

UNA PUNO

La combinación de medidas manuales y automatizadas que salvaguardan los sistemas de información y cuidan que funcionen según las normas gerenciales, recibe el nombre de controles. Los controles consisten en todos los métodos, políticas y procedimientos de la organización que cuidan la seguridad de sus activos y fiabilidad de sus registros contables, y el cumplimiento operativo de sus normas gerenciales. (Kosciuk, 2006). Controles generales: son los que controlan el diseño, la seguridad y el uso de los programas de computadoras, y la seguridad de los archivos de datos en general, en toda la organización. Estos controles se ejercen sobre todas las aplicaciones computarizadas y consisten en una combinación de software de sistemas y procedimientos manuales que crea un entorno de control gerencial. Los controles de aplicación son controles específicos, distintos para cada aplicación computarizada. (Kosciuk, 2006).  Controles generales  Controles de implementación: auditoria que se hace al proceso de desarrollo de sistemas en diversos puntos, para asegurar que se le maneje y controle debidamente. (Kosciuk, 2006).  Controles de software: controles para cuidar la seguridad y fiabilidad del software.  Controles de hardware: controles para cuidar la seguridad física y el correcto funcionamiento de software. (Kosciuk, 2006).  Controles de operaciones de computación: procedimientos que cuidan que los procedimientos programados se apliquen de forma congruente y correcta al almacenamiento y procesamiento de datos. (Kosciuk, 2006).  Controles de seguridad de los datos: comprueba que los datos guardados no sufran accesos no autorizados, alteraciones o destrucción.

AUDITORIA DE SISTEMAS

UNA PUNO

 Controles administrativos Los controles administrativos son las normas, reglas, procedimientos y disciplinas formalizados que aseguran que los controles de la organización se apliquen y cumplan debidamente. (Kosciuk, 2006). La segregación de funciones es un principio de control interno que divide responsabilidades y asigna las tareas a las personas de modo que las funciones no se traslapan y se minimice el riesgo de los errores y la manipulación fraudulenta de los activos de la organización.  Controles de aplicación Son específicos dentro de cada aplicación de computadora individual. Controles de entrada: verifican la exactitud e integridad de los datos cuando entran en el sistema. (Kosciuk, 2006). Totales de control: tipo de control de entrada que requiere contar las transacciones o los campos de cantidades antes del procesamiento para efectuar comparaciones y conciliaciones posteriormente. Verificaciones de edición: rutinas para verificar los datos de entrada y corregir errores antes del procesamiento. (Kosciuk, 2006).  Controles de procesamiento Rutinas para comprobar que los datos estén completos y sean exactos durante la actualización. (Kosciuk, 2006). Totales de control de serie: procedimiento para controlar el grado de actualización por computadora generando totales de control que concilian los datos totales antes y después del procesamiento. (Kosciuk, 2006). Cotejo por computadora: se comparan los datos de entrada con información guardada en archivos maestros. (Kosciuk, 2006).

AUDITORIA DE SISTEMAS

UNA PUNO

Controles de salida: se asegura que los resultados del procesamiento computarizado sean correctos, estén completos y se distribuyan debidamente. (Kosciuk, 2006).  Seguridad e Internet Un firewall controla el acceso a las redes internas de la organización, al actuar como una “caseta de vigilancia” que examina las credenciales de todos los usuarios antes de que puedan acceder a la red. Identifica nombres, direcciones IP, aplicaciones y otras características del tráfico que llega. Hay dos tipos de tecnologías de firewall. (Kosciuk, 2006). 1. Apoderados, que hace de intermediario entre el interior y el exterior, impidiendo que se comuniquen directamente. (Kosciuk, 2006). 2. Inspecciones plenas de estado. El firewall examina cada paquete de datos que llega y verifica su origen, su dirección de destino o sus servicios. Las reglas son puestas por el usuario, y es menos seguro que el uso de apoderados, aunque consume menos recursos. (Kosciuk, 2006).

3. AUDITORIA DE SISTEMAS E INFORMACIÓN Para una mejor productividad empresarial, los responsables de los sistemas, que usan los distintos departamentos o áreas de negocio, deben conocer los riesgos derivados de una inadecuada gestión de sistemas y los beneficios generados por una gestión óptima, así mismo generar controles y/o evaluaciones de los riesgos, el que puede ser la Auditoria de Sistemas e Informática. a. DEFINICIÓN Auditoria informática:

AUDITORIA DE SISTEMAS

UNA PUNO

La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Esta evaluación debe contener: A. B. C. D. E. F. G. H.

“Enfoques de la auditoria informática Pasos que se debe seguir en la auditoria Metodología de la auditoria Objetivos de la auditoria Evaluación nade sistemas de control interno Procedimiento de auditoría Papeles de trabajo Deficiencias del control interno informe de auditoría” (MEDINA COLQUE,

2011). A. Enfoques de la auditoria informática Dentro de los enfoques de la auditoria informática tenemos: la auditoria alrededor del computador, la auditoria a través del computador, la auditoría con el computador; AUDITORÍA ALREDEDOR DEL COMPUTADOR

AUDITORIA DE SISTEMAS

UNA PUNO

Básicamente dentro de este enfoque de auditoría, los programas y los archivos de datos no se auditan; puesto que la auditoría alrededor del computador concentra sus esfuerzos en la entrada de datos y en la salida de información. Este es el más cómodo para los auditores de sistemas, por que únicamente se verifica la efectividad del sistema de control interno en el ambiente externo de la máquina, es decir los input y outputs del sistema o del computador. Naturalmente que se examinan los controles desde el origen de los datos para protegerlos de cualquier tipo de riesgo que atente contra la integridad, completitud, exactitud y legalidad. La auditoría alrededor del computador no es tan simple como aparentemente puede presentarse, pues tiene objetivos muy importantes como: 1. Verificar la existencia de una adecuada segregación funcional. 2. Comprobar la eficiencia de los controles sobre seguridades físicas y lógicas de los datos. 3. Asegurarse de la existencia de controles dirigidos a que todos los datos enviados a proceso estén autorizados. 4. Comprobar la existencia de controles para asegurar que todos los datos enviados sean procesados. 5. Cerciorarse que los procesos se hacen con exactitud. 6. Comprobar que los datos sean sometidos a validación antes de ordenar su proceso. 7. Verificar la validez del procedimiento utilizado para corregir inconsistencias y la posterior realimentación de los datos corregidos al proceso. 8. Examinar los controles de salida de la información para asegurar que se eviten los riesgos entre sistemas y el usuario. 9. Verificar la satisfacción del usuario. En materia de los informes recibidos. 10. Comprobar la existencia y efectividad de un plan de contingencias, para asegurar la continuidad de los procesos y la recuperación de los datos en caso de desastres. AUDITORÍA A TRAVÉS DEL COMPUTADOR Este enfoque está orientado a examinar y evaluar los recursos del software, es decir de los software que aseguran el procesamiento de la información como parte

AUDITORIA DE SISTEMAS

UNA PUNO

complementaria del sistema, tales como el control de usuarios; este enfoque surge como complemento del enfoque de auditoría alrededor del computador, en el sentido de que su acción va dirigida a evaluar el sistema de controles diseñados para minimizar los fraudes y los errores que normalmente tienen origen en los programas. Este enfoque es más complejo y exigente que el anterior, por cuanto es necesario saber con cierto rigor, los lenguajes de programación o desarrollo de sistemas en general usados por el sistema informático a auditar, con el objeto de facilitar el proceso de auditaje. Objetivos de esta auditoría 1. Asegurar que los programas procesan los datos, de acuerdo con las necesidades del usuario o dentro de los parámetros de precisión previstos. 2. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los programas. 3. Verificar que los programadores modifiquen los programas solamente en los aspectos autorizados. 4. Comprobar que los programas utilizados

en

producción

son

los

debidamente autorizados por el administrador. 5. Verificar la existencia de controles eficientes para evitar que los programas sean modificados con fines ilícitos o que se utilicen programas no autorizados para los procesos corrientes. 6. Cerciorarse que todos los datos son sometidos a validación antes de ordenar su proceso correspondiente. Informe de Auditoría: deberá orientarse a opinar sobre la validez de los controles, en este caso de software, para proteger los datos en su proceso de conversión en información. AUDITORÍA CON EL COMPUTADOR

AUDITORIA DE SISTEMAS

UNA PUNO

Este enfoque va dirigido especialmente, al examen y evaluación de los archivos de datos en medios magnéticos, con el auxilio del computador y de software de auditoría generalizado y /o a la medida. Este enfoque es relativamente completo ya que verifica la existencia, la integridad y la exactitud de los datos dentro del proceso, en grandes volúmenes de transacciones. La auditoría con el computador es relativamente fácil de desarrollar porque los programas de auditoría vienen documentados de tal manera que se convierten en instrumentos de sencilla aplicación. Normalmente son paquetes que se aprenden a manejar en cursos cortos y sin avanzados conocimientos de informática. Los paquetes de auditoría permiten desarrollar operaciones y prueba, tales como: 1. Recálculos y verificación de información, como por ejemplo, relaciones sobre nómina, montos de depreciación y acumulación de intereses, entre otros. 2. Demostración gráfica de datos seleccionados. 3. Selección de muestras estadísticas. 4. Preparación de análisis de cartera por antigüedad. Informe de Auditoría: Este informe deberá versar sobre la confiabilidad del sistema de control interno para proteger los datos sometidos a proceso y la información contenida en los archivos maestros. Los tres enfoque de auditoría vistos, son complementarios, pues ninguno de los tres, es suficiente para auditar aplicaciones en funcionamiento. B. Metodología de la auditoria Existen algunas metodologías de Auditorías de Sistemas y todas dependen de lo que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:

AUDITORIA DE SISTEMAS    

UNA PUNO

Estudio preliminar Revisión y evaluación de controles y seguridades Examen detallado de áreas criticas Comunicación de resultados

Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios del PAD. Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades. Examen detallado de áreas críticas.-Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usará, definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente analizado. Comunicación de resultados.- Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de matriz, cuadros o redacción simple y concisa

que

destaque

los

problemas

recomendaciones de la Auditoría. El informe debe contener lo siguiente:  Motivos de la Auditoría

encontrados,

los

efectos

y

las

AUDITORIA DE SISTEMAS      

UNA PUNO

Objetivos Alcance Estructura Orgánico-Funcional del área Informática Configuración del Hardware y Software instalado Control Interno Resultados de la Auditoría

C. Objetivos de la auditoria La Auditoría del Sistema de Información en la empresa, a través de la evaluación y control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia del sistema mecanizado de información en que se sustenta. Los aspectos relativos al control de la Seguridad de la Información tienen tres líneas básicas en la auditoria del sistema de información: 

Aspectos generales relativos a la seguridad: En este grupo de aspectos habría que considerar, entre otros: la seguridad operativa de los programas, seguridad en suministros y funciones auxiliares, seguridad contra radiaciones, atmósferas agresivas, agresiones y posibles sabotajes, seguridad físicos de las instalaciones, del personal informático, etc.



Aspectos relativos a la confidencialidad y seguridad de la información: Estos aspectos se refieren no solo a la protección del material, el logicial, los soportes de la información, sino también al control de acceso a la propia información (a toda o a parte de ella, con la posibilidad de introducir modificaciones en la misma).



Aspectos jurídicos y económicos relativos a la seguridad de la información: En este grupo de aspectos se trata de analizar la adecuada aplicación del sistema de información en la empresa en cuanto al derecho a la intimidad y el derecho a la información, y controlar cada vez más frecuentes delitos informáticos que se cometen en la empresa.

AUDITORIA DE SISTEMAS

UNA PUNO

Las propias aplicaciones de las tecnologías de la información y cada vez más amplia aplicación en la empresa, ha propiciado la aparición de estos delitos informáticos. En general, estos delitos pueden integrarse en dos grandes grupos: delitos contra el sistema informático y delitos cometidos por medio del sistema informático. En el primer grupo se insertan figuras delictivas tipificadas en cualquier código penal, como hurto, robo, revelación de secretos, etc., y otro conjunto de delitos que ya no es tan frecuente encontrar, al menos con carácter general, perfectamente tipificados, como el denominado “hurto de tiempo”, destrucción de logiciales y datos, delitos contra la propiedad (material, terminales, cintas magnéticas,...). De la misma manera, a través de la auditoria del sistema de información será necesario controlar el adecuado equilibrio entre riesgos y costes de seguridad y la eficacia del propio sistema. En cuanto a la Eficacia del Sistema, esta vendrá determinada, básicamente, por la aportación a la empresa de una información válida, exacta, completa, actualizada y oportuna que ayude a la adopción de decisiones, y todo ello medido en términos de calidad, plazo y coste. Sin el adecuado control, mediante la realización de auditorias al sistema de información.

D. Evaluación de sistemas de control interno La elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos. El plan estratégico deberá establecer los servicios que se presentarán en un futuro contestando preguntas como las siguientes:

AUDITORIA DE SISTEMAS o o o o

UNA PUNO

¿Cuáles servicios se implementarán? ¿Cuándo se pondrán a disposición de los usuarios? ¿Qué características tendrán? ¿Cuántos recursos se requerirán?

La estrategia de desarrollo deberá establecer las nuevas aplicaciones, recursos y la arquitectura en que estarán fundamentados: o o o o o o o

¿Qué aplicaciones serán desarrolladas y cuando? ¿Qué tipo de archivos se utilizarán y cuando? ¿Qué bases de datos serán utilizarán y cuando? ¿Qué lenguajes se utilizarán y en que software? ¿Qué tecnología será utilizada y cuando se implementará? ¿Cuantos recursos se requerirán aproximadamente? ¿Cuál es aproximadamente el monto de la inversión en hardware y software?

En lo referente a la consulta a los usuarios, el plan estratégico debe definir los requerimientos de información de la dependencia. o ¿Qué estudios van a ser realizados al respecto? o ¿Qué metodología se utilizará para dichos estudios? o ¿Quién administrará y realizará dichos estudios? En el área de auditoría interna debe evaluarse cuál ha sido la participación del auditor y los controles establecidos. Por último, el plan estratégico determina la planeación de los recursos. o ¿Contempla el plan estratégico las ventajas de la nueva tecnología? o ¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los usuarios? El proceso de planeación de sistemas deberá asegurarse de que todos los recursos requeridos estén claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos (hardware, software y comunicaciones)

AUDITORIA DE SISTEMAS

UNA PUNO

deberán ser compatibles con la arquitectura y la tecnología, conque se cuenta actualmente. Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen: requerimientos del usuario, estudio de factibilidad, diseño general, análisis, diseño

lógico,

desarrollo

físico,

pruebas,

implementación,

evaluación,

modificaciones, instalación, mejoras. Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad. La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el sistema es factible de realizarse, cuál es su relación costo/beneficio y si es recomendable elaborarlo. Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en operación, así como los que estén en la fase de análisis para evaluar si se considera la disponibilidad y características del equipo, los sistemas operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de utilización de los sistemas, el costo y los beneficios que reportará el sistema, el efecto que producirá en quienes lo usarán y el efecto que éstos tendrán sobre el sistema y la congruencia de los diferentes sistemas. En el caso de sistemas que estén funcionando, se deberá comprobar si existe el estudio de factibilidad con los puntos señalados y compararse con la realidad con lo especificado en el estudio de factibilidad Por ejemplo en un sistema que el estudio de factibilidad señaló determinado costo y una serie de beneficios de acuerdo con las necesidades del usuario, debemos E. Procedimiento de auditoría Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que deben satisfacer esos objetivos. El proceso de auditoría exige que el auditor de sistemas reúna

AUDITORIA DE SISTEMAS

UNA PUNO

evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoría que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoría debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoría además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia. Algunos ejemplos de procedimientos de auditoría son: Revisión de la documentación de sistemas e identificación de los controles existentes. Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles aplicados. Utilización de software de manejo de base de datos para examinar el contenido de los archivos de datos. Técnicas de diagramas de flujo para documentar aplicaciones automatizadas. Desarrollo del programa de auditoría. Un programa de auditoría es un conjunto documentado de procedimientos diseñados para alcanzar los objetivos de auditoría planificados. El esquema típico de un programa de auditoría incluye lo siguiente: Tema de auditoría: Donde se identifica el área a ser auditada. Objetivos de Auditoría: Donde se indica el propósito del trabajo de auditoría a realizar. Alcances de auditoría: Aquí se identifica los sistemas específicos o unidades de organización que se han de incluir en la revisión en un período de tiempo determinado. Planificación previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo así como las fuentes de información para pruebas o revisión y lugares físicos o instalaciones donde se va auditar. Procedimientos de auditoría para:

AUDITORIA DE SISTEMAS     

UNA PUNO

Recopilación de datos. Identificación de lista de personas a entrevistar. Identificación y selección del enfoque del trabajo Identificación y obtención de políticas, normas y directivas. Desarrollo de herramientas y metodología para probar y verificar los

controles existentes.  Procedimientos para evaluar los resultados de las pruebas y revisiones.  Procedimientos de comunicación con la gerencia.  Procedimientos de seguimiento. El programa de auditoría se convierte también en una guía para documentar los diversos pasos de auditoría y para señalar la ubicación del material de evidencia. Generalmente tiene la siguiente estructura:

Papeles de Procedimiento de Auditoria

Lugar:

Trabajo: Referencia:

Hecho Por: Fecha:

Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, las de cumplimiento se hacen para verificar que los controles funcionan de acuerdo a las políticas y procedimientos establecidos y las pruebas sustantivas verifican si los controles establecidos por las políticas o procedimientos son eficaces. Los puntos a evaluar:               

Entradas. Salidas. Procesos. Especificaciones de datos. Especificaciones de proceso. Métodos de acceso. Operaciones. Manipulación de datos (antes y después del proceso electrónico de datos). Proceso lógico necesario para producir informes. Identificación de archivos, tamaño de los campos y registros. Proceso en línea o lote y su justificación. Frecuencia y volúmenes de operación. Sistemas de seguridad. Sistemas de control. Responsables.

AUDITORIA DE SISTEMAS

UNA PUNO

 Número de usuarios. (BLANCO CUARTE, 2010) PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo. En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:  Evaluación de los sistemas y procedimientos.  Evaluación de los equipos de cómputo. Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. (AUDI, 2003) A continuación se menciona algunas de las áreas que deben ser cubiertas durante la planificación de la auditoría: a) Comprensión del negocio y de su ambiente. Al planificar una auditoría, el auditor de sistemas debe tener una comprensión de suficiente del ambiente total que se revisa. Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoría, así como los tipos de sistemas que se utilizan. El auditor de sistemas también debe comprender el ambiente normativo en el que opera el negocio. Por ejemplo, a un banco se le exigirá requisitos de integridad de sistemas de información y de control que no están presentes en una empresa manufacturera.

AUDITORIA DE SISTEMAS

UNA PUNO

Los pasos que puede llevar a cabo un auditor de sistemas para obtener una comprensión del negocio son: Recorrer las instalaciones del ente. Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria, memorias e informes financieros. Entrevistas a gerentes claves para comprender los temas comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisión de planes estratégicos a largo plazo. Revisión de informes de auditorías anteriores. b) Riesgo y materialidad de auditoría. Se puede definir los riesgos de auditoría como aquellos riesgos de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditoría pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditoría. En una auditoría de sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del ente auditado así como de otros factores. El auditor de sistemas debe tener una cabal comprensión de estos riesgos de auditoría al planificar. Una auditoría tal vez no detecte cada uno de los potenciales errores en un universo. Pero, si el tamaño de la muestra es lo suficientemente grande, o se utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de detección. De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mínimo, pero ese error

AUDITORIA DE SISTEMAS

UNA PUNO

combinado con otros, puede convertiré en un error material para todo el sistema. La materialidad en la auditoría de sistemas debe ser considerada en términos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario. c) Técnicas de evaluación de Riesgos. Al determinar qué áreas funcionales o temas de auditoría que deben auditarse, el auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoría, el auditor de sistemas debe evaluar esos riesgos y determinar cuáles de esas áreas de alto riesgo debe ser auditada. Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son: Permitir que la gerencia asigne recursos necesarios para la auditoría. Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y garantiza que las actividades de la función de auditoría se dirigen correctamente a las áreas de alto riesgo y constituyen un valor agregado para la gerencia. Constituir la base para la organización de la auditoría a fin de administrar eficazmente el departamento. Proveer un resumen que describa como el tema individual de auditoría se relaciona con la organización global de la empresa así como los planes del negocio. d) Objetivos de controles y objetivos de auditoría. El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de auditoría es verificar la existencia de estos controles y que estén funcionando de manera eficaz, respetando las políticas de la empresa y los objetivos de la empresa. Así pues tenemos por ejemplo como objetivos de auditoría de sistemas los siguientes: La información de los sistemas de información deberá estar resguardada de acceso incorrecto y se debe mantener actualizada. Cada una de las transacciones que ocurren en los sistemas es autorizada y es ingresada una sola vez. Los cambios a los programas deben ser

AUDITORIA DE SISTEMAS

UNA PUNO

debidamente aprobados y probados. Los objetivos de auditoría se consiguen mediante los procedimientos de auditoría. F. Papeles de trabajo La documentación de la auditoria de los sistemas informáticos es el registro del trabajo de auditoría realizado, la evidencia que sirve de soporte a las debilidades mostradas y las conclusiones del auditor, estos documentos, genéricamente se denominan papeles de trabajo. Los papeles de trabajo se deben diseñar y organizar según las circunstancias y las necesidades del auditor. Estos han de ser completos, claros y concisos. Todo el trabajo de auditoría debe quedar en papeles de trabajo por los siguientes motivos: a) Recogen la evidencia obtenida a lo largo del trabajo b) Ayudan al auditor en el desarrollo de su trabajo c) Ofrecen soporte del trabajo realizado para poder utilizarlo en auditorias sucesivas d) Permiten que el trabajo pueda ser revisado por terceros e) Sirve para fomentar un enfoque metódico de la labor que se lleva. Para concluir la importancia que tienen los papeles de trabajo, digamos que una vez que el auditor a finalizado su trabajo, los papeles de trabajo son la única prueba de que el auditor tiene de haber llevado a cabo un examen adecuado. Siempre existe la posibilidad de que auditor tenga que demostrar la calidad de su análisis ante un tribunal. Archivos: los papeles de trabajo que el auditor va elaborando se pueden organizar en dos archivos principales: el archivo permanente o continuo de auditoría, y el archivo corriente o de auditoría en curso. Archivo permanente: El archivo permanente contiene todos aquellos papeles que tienen un interés continuo, una calidez plurianual, tales como:  Consideraciones sobre el negocio  Consideraciones sobre el sector

AUDITORIA DE SISTEMAS       

UNA PUNO

Composición del consejo de administración Características de los equipos Manuales de los equipos y de las aplicaciones Descripción de los procedimientos contables Descripción del control interno Organigramas Cuadro de planificación plurianual de la auditoria.

Archivo corriente: este a su vez se suele dividir en archivo general y en archivo de áreas. Archivo general: los documentos que se suelen archivar aquí con aquellos que no tienen cabida específica en alguna de las áreas en que hemos dividido el trabajo de auditoría, tales como: el informe del auditor, la carta de recomendaciones, los acontecimientos posteriores entre otros. Archivo por áreas: se debe preparar un archivo para cada una de las áreas en que hayamos dividido el trabajo e incluir en cada archivo todos los documentos que hayamos necesitado para realizar el trabajo de esa área en concreto. Al menos deberán incluirse los siguientes documento: Programa de auditoría de cada una de las áreas, conclusiones de área en cuestión, conclusiones del procedimiento en cuestión. EL AUDITOR INFORMÁTICO Es el profesional que ha de cuidar y velar por la correcta utilización de los diversos recursos que la organización y debe comprobar que se esté llevando a cabo un eficiente y eficaz Sistema de Información y la Tecnología de la Información. Pues estos dos puntos en la actualidad soportan la Auditoría y Control de los Sistemas e Informática en la Gestión moderna. Cuando se aplica el CIPOD en la Auditoría y Control de Sistemas e Informática.Nos encontramos que en ella no da "Indicios, anomalías y síntomas" que nos permite percibir que la Organización bajo control esta con

problemas de

AUDITORIA DE SISTEMAS

UNA PUNO

resultados como de eficacia y eficiencia en los Sistemas Informáticos y en la Tecnología de la Información. Vamos a citar algunos ejemplos que se encuentran: a)

Creatividad.o

Sistemas Informáticos de Baja Performance creativa.

o

Deficiente

manejo

de

Imaginación

y

Creatividad

para

las

Producciones de Servicios. o

No permite variabilidad y atención a Usuarios.

o

Falta de una buena Integración de la Información y Difusión del Organismo con la Sociedad, a través de medios y del internet.

o

Pocos

Servicios

Creativos, donde

el

usuario

manifiesta

su

descontento. o

Exceso de monotonía y rutina de procesos administrativos y técnicos.

b)

o

Deficiente nivel de Proceso de la Investigación y Desarrollo Creativo.

o

Usuarios se quejan por engorrosos procedimientos Informáticos.

Inteligencia.o

La Organización no cuenta con Formación de Conocimientos en Sistemas y Tecnología Informática.

o

Exceso de averías en los Sistemas Informáticos.

o

No hay Capacitación ni entrenamiento de nuevas Tecnologías.

o

Tratamiento de la Tecnología para la Inteligencia Empresarial muy deficiente.

o

Los Estándares de Productividad son bajos.

AUDITORIA DE SISTEMAS o

UNA PUNO

Bajo Índice de Producción de Servicio (Planificación, Producción y Soporte Técnico),

o

Usuarios

salen

conformes

con

la

resolución

de

problemas

(Relacionados a los Sistemas Informáticos). o

Informática de Comunicaciones, Tele Comunicaciones y Redes; no se encuentra Integrado a los Procesos Intranet, Extranet e Internet.

o

Los Controles Inteligentes de procesos son deficientes.

o

Deficiente nivel de Investigación y Desarrollo Tecnológico.

o

Alto Índice de desatendidos y asuntos pendientes (Relacionados a Tecnologías de la Información).

c)

d)

Personalidad.o

Carencia de Identidad, Rumbo y de Mística Laboral y Personal.

o

Síntomas de mala Imagen.

o

Baja Productividad de Trabajo.

o

Alto Índice de estrés laboral.

o

Pérdida de credibilidad del Organismos.

o

Usuarios manifiestan su descontento con el trato y atención.

Organización.o

Desorganización estructural y Funcional.

o

Descoordinación Funcional Horizontal - Vertical.

o

Demasiado Centralismo Funcional y Operativo de los Sistemas Informáticos.

AUDITORIA DE SISTEMAS o

UNA PUNO

Alto riesgo de Inseguridad Operativa, de Tecnología y de Información.

o

Las áreas de Producción, Desarrollo, Sistemas, Comunicaciones y Seguridad en estado Critico.

o

Usuarios manifiestan excesiva desubicación en los desplazamientos por la organización.

o

Usuarios manifiestan descontento porque no se cumplen con los plazos de entrega de resultados periódicos.

e)

Dirección.o

Carencia de Objetivos, Estrategias y Planes de los Sistemas e Informática.

o

Toma de Decisiones deficientes por Tecnologías de la Información inadecuadas.

o

Los Programas de Auditorías y Control no logra recomponer fallas.

o

Descoordinación en la Toma de decisiones.

o

Desviaciones Presupuestarias significativas.

o

Incremento desmesurado de costos y gastos.

o

Carencia de Proyectos de Sistemas e Informática.

o

Baja adopción de Medidas del Plan de Contingencias.

o

Usuarios se quejan por ineficacias de Resoluciones en Niveles Directivos. b. TÉCNICAS DE RECOPILACIÓN DE EVIDENCIAS.

AUDITORIA DE SISTEMAS

UNA PUNO

La recopilación de material de evidencia es un paso clave en el proceso de la auditoría, el auditor de sistemas debe tener conocimiento de cómo puede recopilar la evidencia examinada. Algunas formas son las siguientes: Revisión de las estructuras organizacionales de sistemas de información. Revisión de documentos que inician el desarrollo del sistema, especificaciones de diseño funcional, historia de cambios a programas, manuales de usuario, especificaciones de bases de datos, arquitectura de archivos de datos, listados de programas, etc.; estos no necesariamente se encontrarán en documentos, sino en medios magnéticos para lo cual el auditor deberá conocer las formas de recopilarlos mediante el uso del computador. Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria. Observación de operaciones y actuación de empleados, esta es una técnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para presentarlo como evidencia de auditoría. Auto documentación, es decir el auditor puede preparar narrativas en base a su observación, flujo gramas, cuestionarios de entrevistas realizados. Aplicación de técnicas de muestreo para saber cuándo aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras. Utilización de técnicas de auditoría asistida por computador CAAT, consiste en el uso de software genérico, especializado o utilitario. Evaluación de fortalezas y debilidades de auditoría. Luego de desarrollar el programa de auditoría y recopilar evidencia de auditoría, el siguiente paso es evaluar la información recopilada con la finalidad de desarrollar una opinión. Para esto generalmente se utiliza una matriz de control con la que se evaluará el nivel de los controles identificados, esta matriz tiene sobre el eje

AUDITORIA DE SISTEMAS

UNA PUNO

vertical los tipos de errores que pueden presentarse en el área y un eje horizontal los controles conocidos para detectar o corregir los errores, luego se establece un puntaje (puede ser de 1 a 10 ó 0 a 20, la idea es que cuantifique calidad) para cada correspondencia, una vez completada, la matriz muestra las áreas en que los controles no existen o son débiles, obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay si es necesario el control. En esta parte de evaluación de debilidades y fortalezas también se debe elegir o determinar la materialidad de las observaciones o hallazgos de auditoría. El auditor de sistemas debe juzgar cuales observaciones son materiales a diversos niveles de la gerencia y se debe informar de acuerdo a ello. c. INFORME DE AUDITORÍA. En una primera aproximación, puede decirse que el informe de auditoría de sistemas de información es un documento que presenta el trabajo efectuado por el auditor y su opinión profesional sobre la totalidad, área o sección del S.I. objetivo de la auditoría. El informe es, a la postre, el resultado final y formal que refleja todo su esfuerzo comprensivo de los elementos personales, temporales, identificativos de alcance y de opinión, que incluye conclusiones, recomendaciones, salvedades (reservas y calificaciones) y fallos significativos detectados. La finalidad y los usos de dicho informe, sean cuales fueren, justifican la auditoría y su realización por el susodicho auditor, en función de dos de sus atributos capitales: la competencia técnica profesional y la independencia. (PEÑA SANCHEZ, 2000) PUNTOS BÁSICOS PARA LA ELABORACIÓN DE UN INFORME DE AUDITORÍA DE S.I. Se relacionan a continuación los puntos más importantes a la hora de realizar un Informe de auditoría de S.I., según ISACA: 

ANTECEDENTES • Correspondencia normativa • Necesidad de Guía

AUDITORIA DE SISTEMAS 



UNA PUNO

INFORME • Propósito y contenido • Receptores designados • Estilo y contenido • Declaración de objetivos • Ámbito, naturaleza, tiempo y extensión del trabajo • Restricciones en la distribución • Fallos significativos • Conclusiones • Recomendaciones • Reservas y calificaciones • Presentación • Oportunidad • Consideraciones de los sucesos posteriores ACTIVIDADES POSTERIORES • Solicitud de respuesta (PEÑA SANCHEZ, 2000)

Los informes de auditoría son el producto final del trabajo del auditor de sistemas, este informe es utilizado para indicar las observaciones y recomendaciones a la gerencia, aquí también se expone la opinión sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados durante la auditoría, no existe un formato específico para exponer un informe de auditoría de sistemas de información, pero generalmente tiene la siguiente estructura o contenido: Introducción al informe, donde se expresara los objetivos de la auditoría, el período o alcance cubierto por la misma, y una expresión general sobre la naturaleza o extensión de los procedimientos de auditoría realizados. Observaciones detalladas y recomendaciones de auditoría. Respuestas de la gerencia a las observaciones con respecto a las acciones correctivas. Conclusión global del auditor expresando una opinión sobre los controles y procedimientos revisados. d. Seguimiento de las observaciones de auditoría.

AUDITORIA DE SISTEMAS

UNA PUNO

El trabajo de auditoría es un proceso continuo, se debe entender que no serviría de nada el trabajo de auditoría si no se comprueba que las acciones correctivas tomadas por la gerencia, se están realizando, para esto se debe tener un programa de seguimiento, la oportunidad de seguimiento dependerá del carácter crítico de las observaciones de auditoría. El nivel de revisión de seguimiento del auditor de sistemas dependerá de diversos factores, en algunos casos el auditor de sistemas tal vez solo necesite inquirir sobre la situación actual, en otros casos tendrá que hacer una revisión más técnica del sistema. e. Auditoría Informática de Comunicaciones y Redes Para el informático y para el auditor informático, el entramado conceptual que constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el soporte físico-lógico del Tiempo Real. El auditor tropieza con la dificultad técnica del entorno, pues ha de analizar situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio telefónico que presta el soporte. Como en otros casos, la auditoría de este sector requiere

un

equipo

de

especialistas,

expertos

simultáneamente

en

Comunicaciones y en Redes Locales (no hay que olvidarse que en entornos geográficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseñadas y cableadas con recursos propios). El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de desuso. Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la desactualización de esta documentación significaría una grave debilidad. La inexistencia de datos sobre cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo, las debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas. La contratación e instalación de líneas va asociada a la instalación de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas

AUDITORIA DE SISTEMAS

UNA PUNO

estas actividades deben estar muy coordinadas y de ser posible, dependientes de una sola organización. f. Auditoría de la Seguridad informática: La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorización ("piratas") y borra toda la información que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus. El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la información con propósitos fraudulentos. La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.

AUDITORIA DE SISTEMAS

UNA PUNO

Un método eficaz para proteger sistemas de computación es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial. Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes, y los principales proveedores ponen a disposición de clientes algunos de estos paquetes. Ejemplo: Existe una Aplicación de Seguridad que se llama SEOS, para Unix, que lo que hace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a directorios, que usuario lo hizo, si tenía o no tenía permiso, si no tenía permiso porque falló, entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password equivocada, cambios de password, etc. La Aplicación lo puede graficar, tirar en números, puede hacer reportes, etc. La seguridad informática se la puede dividir como Área General y como Área Especifica (seguridad de Explotación, seguridad de las Aplicaciones, etc.). Así, se podrán efectuar auditorías de la Seguridad Global de una Instalación Informática – Seguridad General- y auditorías de la Seguridad de un área informática determinada – Seguridad Especifica -. Con el incremento de agresiones a instalaciones informáticas en los últimos años, se han ido originando acciones para mejorar la Seguridad Informática a nivel físico. Los accesos y conexiones indebidos a través de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lógica y la utilización de sofisticados medios criptográficos. El sistema integral de seguridad debe comprender:    

Elementos administrativos Definición de una política de seguridad Organización y división de responsabilidades Seguridad física y contra catástrofes (incendio, terremotos, etc.)

AUDITORIA DE SISTEMAS

UNA PUNO

 Prácticas de seguridad del personal  Elementos técnicos y procedimientos  Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.  Aplicación de los sistemas de seguridad, incluyendo datos y archivos  El papel de los auditores, tanto internos como externos  Planeación de programas de desastre y su prueba. La decisión de abordar una Auditoría Informática de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida. Se elaboran "matrices de riesgo", en donde se consideran los factores de las "Amenazas" a las que está sometida una instalación y los "Impactos" que aquellas puedan causar cuando se presentan. Las matrices de riesgo se representan en cuadros de doble entrada , en donde se evalúan las probabilidades de ocurrencia de los elementos de la matriz. Ejemplo: Impacto

Error

Amenaza Incendio Sabotaje

1: Improbable ……………

Destrucción de

2: Probable -

1

1 3: Certeza

Hardware Borrado de Información

3

1

1

-: Despreciable

El cuadro muestra que si por error codificamos un parámetro que ordene el borrado de un fichero, éste se borrará con certeza. CONTROLES Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos.

AUDITORIA DE SISTEMAS

UNA PUNO

En general consiste en examinar los recursos, las operaciones, los beneficios y los gastos de las producciones (servicios y/o productos de los Sistemas Informáticos), de los Organismos sujetos a control, con la finalidad de evaluar la eficacia y eficiencia Administrativa Técnica y/u Operacional de los Organismos, en concordancia con los principios, normas, técnicas y procedimientos normalmente aceptados. Asimismo de los Sistemas (Planes, Programas y Presupuestos, Diseño,

Software, Hardware, Seguridad, Respaldos y otros) adoptados por la

Organización para su dinámica de Gestión en salvaguarda de los Recursos del Estado. Existe otra definición sobre el "control técnico" en materia de Sistemas e Informática, y esta se orienta a la revisión del Diseño de los Planes, Diseños de los Sistemas, la demostración de su eficacia, la Supervisión compulsa de rendimientos, Pruebas de Productividad de la Gestión - Demanda llamada "Pruebas intermedias", el análisis de resultados, niveles y medios de seguridad, respaldo, y el almacenamiento. Así mismo medición de la vida útil del Sistema Informático adoptado por la Organización bajo control. Clasificación general de los controles Controles Preventivos: Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones. Sistemas de claves de acceso. Controles detectivos : Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los más importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Archivos y procesos que sirvan como pistas de auditoría.

AUDITORIA DE SISTEMAS

UNA PUNO

Procedimientos de validación. Controles Correctivos: Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores. Principales Controles físicos y lógicos Controles particulares tanto en la parte física como en la lógica se detallan a continuación. Autenticidad: Permiten verificar la identidad  Passwords  Firmas digitales Exactitud: Aseguran la coherencia de los datos  Validación de campos  Validación de excesos Totalidad: Evitan la omisión de registros así como garantizan la conclusión de un proceso de envío  Conteo de registros  Cifras de control Redundancia: Evitan la duplicidad de datos  Cancelación de lotes  Verificación de secuencias Privacidad: Aseguran la protección de los datos  Compactación

AUDITORIA DE SISTEMAS

UNA PUNO

 Encriptación Existencia: Aseguran la disponibilidad de los datos  Bitácora de estados  Mantenimiento de activos Protección de Activos: Destrucción o corrupción de información o del hardware  Extintores  Passwords Efectividad: Aseguran el logro de los objetivos  Encuestas de satisfacción  Medición de niveles de servicio Eficiencia: Aseguran el uso óptimo de los recursos  Programas monitores  Análisis costo-beneficio  Controles automáticos o lógicos Periodicidad de cambio de claves de acceso Los cambios de las claves de acceso a los programas se deben realizar periódicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente. El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación. Por lo tanto se recomienda cambiar claves por lo menos trimestralmente. Combinación de alfanuméricos en claves de acceso

AUDITORIA DE SISTEMAS

UNA PUNO

No es conveniente que la clave este compuesta por códigos de empleados, ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave. Para redefinir claves es necesario considerar los tipos de claves que existen: Individuales: Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio. Confidenciales: De forma confidencial los usuarios deberán ser instruidos formalmente respecto al uso de las claves. No significativas: Las claves no deben corresponder a números secuenciales ni a nombres o fechas. Verificación de datos de entrada Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión; tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango. Conteo de registros Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados. Totales de Control Se realiza mediante la creación de totales de línea, columnas, cantidad de formularios, cifras de control, etc. , y automáticamente verificar con un campo en el cual se van acumulando los registros, separando solo aquellos formularios o registros con diferencias. Verificación de límites

AUDITORIA DE SISTEMAS

UNA PUNO

Consiste en la verificación automática de tablas, códigos, límites mínimos y máximos o bajo determinadas condiciones dadas previamente. Verificación de secuencias En ciertos procesos los registros deben observar cierta secuencia numérica o alfabética, ascendente o descendente, esta verificación debe hacerse mediante rutinas independientes del programa en si. Dígito auto verificador Consiste en incluir un dígito adicional a una codificación, el mismo que es resultado de la aplicación de un algoritmo o formula, conocido como MODULOS, que detecta la corrección o no del código. Tal es el caso por ejemplo del décimo dígito de la cédula de identificado con el ultimo dígito del RUC. Utilizar software de seguridad en los microcomputadores El software de seguridad permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo. Adicionalmente, este software permite reforzar la segregación de funciones y la confidencialidad de la información mediante controles para que los usuarios puedan acceder solo a los programas y datos para los que están autorizados. Programas de este tipo son: WACHDOG, LATTICE, SECRET DISK, entre otros. Controles administrativos en un ambiente de Procesamiento de Datos La máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma: 1. 2. 3. 4.

Controles de Preinstalación Controles de Organización y Planificación Controles de Sistemas en Desarrollo y Producción Controles de Procesamiento

AUDITORIA DE SISTEMAS

UNA PUNO

5. Controles de Operación 6. Controles de uso de Microcomputadores 1.- Controles de Preinstalación Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes. Objetivos:  Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.  Garantizar la selección adecuada de equipos y sistemas de computación  Asegurar la elaboración de un plan de actividades previo a la instalación Acciones a seguir:  Elaboración de un informe técnico en el que se justifique la adquisición del equipo, software y servicios de computación, incluyendo un estudio costobeneficio.  Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación  Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables) el mismo que debe contar con la aprobación de los proveedores del equipo.  Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y disposiciones legales.  Efectuar las acciones necesarias para una mayor participación de proveedores.  Asegurar respaldo de mantenimiento y asistencia técnica. 2.- Controles de organización y Planificación

AUDITORIA DE SISTEMAS

UNA PUNO

Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como: o o o o o

Diseñar un sistema Elaborar los programas Operar el sistema Control de calidad Se debe evitar que una misma persona tenga el control de toda una operación.

Es importante la utilización óptima de recursos en el PAD mediante la preparación de planes a ser evaluados continuamente Acciones a seguir  La unidad informática debe estar al mas alto nivel de la pirámide administrativa de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección efectiva.  Las funciones de operación, programación y diseño de sistemas deben estar claramente delimitadas.  Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas.  Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento.  El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito.  Las actividades del PAD deben obedecer a planificaciones a corto, mediano y largo plazo sujetos a evaluación y ajustes periódicos "Plan Maestro de Informática"  Debe existir una participación efectiva de directivos, usuarios y personal del PAD en la planificación y evaluación del cumplimiento del plan.  Las instrucciones deben impartirse por escrito. 3.- Controles de Sistema en Desarrollo y Producción

AUDITORIA DE SISTEMAS

UNA PUNO

Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados. Acciones a seguir: Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio  El personal de auditoría interna/control debe formar parte del grupo de diseño para sugerir y solicitar la implantación de rutinas de control  El desarrollo, diseño y mantenimiento de sistemas obedece a planes específicos, metodologías estándares, procedimientos y en general a normatividad escrita y aprobada.  Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores.  Los programas antes de pasar a Producción deben ser probados con datos que agoten todas las excepciones posibles.  Todos los sistemas deben estar debidamente documentados y actualizados. La documentación deberá contener: o Informe de factibilidad o Diagrama de bloque o Diagrama de lógica del programa o Objetivos del programa o Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobación de modificaciones o Formatos de salida o Resultados de pruebas realizadas  Implantar procedimientos de solicitud, aprobación y ejecución de cambios a programas, formatos de los sistemas en desarrollo.  El sistema concluido será entregado al usuario previo entrenamiento y elaboración de los manuales de operación respectivos 4.- Controles de Procesamiento

AUDITORIA DE SISTEMAS

UNA PUNO

Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para:  Asegurar que todos los datos sean procesados  Garantizar la exactitud de los datos procesados  Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría  Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones. Acciones a seguir:  Validación de datos de entrada previo procesamiento debe ser realizada en forma automática: clave, dígito autoverificador, totales de lotes, etc.  Preparación de datos de entrada debe ser responsabilidad de usuarios y consecuentemente su corrección.  Recepción de datos de entrada y distribución de información de salida debe obedecer a un horario elaborado en coordinación con el usuario, realizando un debido control de calidad.  Adoptar acciones necesarias para correcciones de errores.  Analizar conveniencia costo-beneficio de estandarización de formularios, fuente para agilitar la captura de datos y minimizar errores.  Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema.  Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la información y el buen servicio a usuarios. 5.- Controles de Operación Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento, la administración de la cintoteca y la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas online.

AUDITORIA DE SISTEMAS

UNA PUNO

Los controles tienen como fin:  Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso  Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD  Garantizar la integridad de los recursos informáticos.  Asegurar la utilización adecuada de equipos acorde a planes y objetivos. Acciones a seguir: •

El acceso al centro de cómputo debe contar con las seguridades necesarias

•

para reservar el ingreso al personal autorizado Implantar claves o password para garantizar operación de consola y equipo

•

central (mainframe), a personal autorizado. Formular políticas respecto a seguridad, privacidad y protección de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo

•

y uso indebido, intentos de violación y como responder ante esos eventos. Mantener un registro permanente (bitácora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de

•

procesos. Los operadores del equipo central deben estar entrenados para recuperar o

•

restaurar información en caso de destrucción de archivos. Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y adecuados, preferentemente en bóvedas de

•

bancos. Se deben implantar calendarios de operación a fin de establecer prioridades

•

de proceso. Todas las actividades del Centro de Computo deben normarse mediante

•

manuales, instructivos, normas, reglamentos, etc. El proveedor de hardware y software deberá proporcionar lo siguiente:  Manual de operación de equipos  Manual de lenguaje de programación  Manual de utilitarios disponibles  Manual de Sistemas operativos

AUDITORIA DE SISTEMAS •

UNA PUNO

Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, así como extintores de incendio, conexiones eléctricas seguras,

•

entre otras. Instalar equipos que protejan la información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS,

•

generadores de energía. Contratar pólizas de seguros para proteger la información, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operación.

6.- Controles en el uso del Microcomputador Es la tarea más difícil pues son equipos mas vulnerables, de fácil acceso, de fácil explotación pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información. Acciones a seguir:  Adquisición de equipos de protección como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo  Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo.  Establecer procedimientos para obtención de backups de paquetes y de archivos de datos.  Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa.  Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos.  Propender a la estandarización del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitación sobre modificaciones incluidas. Analizados los distintos tipos de controles que se aplican en la Auditoría de Sistemas efectuaremos a continuación el análisis de casos de situaciones

AUDITORIA DE SISTEMAS

UNA PUNO

hipotéticas planteadas como problemáticas en distintas empresas, con la finalidad de efectuar el análisis del caso e identificar las acciones que se deberían implementar. 7.- Control De Medios De Almacenamiento Masivo Los dispositivos de almacenamiento representan, para cualquier centro de cómputo, archivos extremadamente importantes cuya pérdida parcial o total podría tener repercusiones muy serias, no sólo en la unidad de informática, sino en la dependencia de la cual se presta servicio. Una dirección de informática bien administrada debe tener perfectamente protegidos estos dispositivos de almacenamiento, además de mantener registros sistemáticos de la utilización de estos archivos, de modo que servirán de base a registros sistemáticos de la utilización de estos archivos, de modo que sirvan de base a los programas de limpieza (borrado de información), principalmente en el caso de las cintas. Además se deben tener perfectamente identificados los carretes para reducir la posibilidad de utilización errónea o destrucción de la información. Un manejo adecuado de estos dispositivos permitirá una operación más eficiente y segura, mejorando además los tiempos de procesos. 8.- Control De Mantenimiento Como se sabe existen básicamente tres tipos de contrato de mantenimiento: El contrato de mantenimiento total que incluye el mantenimiento correctivo y preventivo, el cual a su vez puede dividirse en aquel que incluye las partes dentro del contrato y el que no incluye partes. El contrato que incluye refacciones es propiamente como un seguro, ya que en caso de descompostura el proveedor debe proporcionar las partes sin costo alguno. Este tipo de contrato es normalmente más caro, pero se deja al proveedor la responsabilidad total del mantenimiento a excepción de daños por negligencia en

AUDITORIA DE SISTEMAS

UNA PUNO

la utilización del equipo. (Este tipo de mantenimiento normalmente se emplea en equipos grandes). El segundo tipo de mantenimiento es "por llamada", en el cual en caso de descompostura se le llama al proveedor y éste cobra de acuerdo a una tarifa y al tiempo que se requiera para componerlo (casi todos los proveedores incluyen, en la cotización de compostura, el tiempo de traslado de su oficina a donde se encuentre el equipo y viceversa). Este tipo de mantenimiento no incluye refacciones. El tercer tipo de mantenimiento es el que se conoce como "en banco", y es aquel en el cual el cliente lleva a las oficinas del proveedor el equipo, y este hace una cotización de acuerdo con el tiempo necesario para su compostura mas las refacciones (este tipo de mantenimiento puede ser el adecuado para computadoras personales). Al evaluar el mantenimiento se debe primero analizar cuál de los tres tipos es el que más nos conviene y en segundo lugar pedir los contratos y revisar con detalles que las cláusulas estén perfectamente definidas en las cuales se elimine toda la subjetividad y con penalización en caso de incumplimiento, para evitar contratos que sean parciales. Para poder exigirle el cumplimiento del contrato de debe tener un estricto control sobre las fallas, frecuencia, y el tiempo de reparación. Dificultades para gestionar y controlar adecuadamente los S.I. a)

Percepción de la función de los sistemas de información

Es muy común que se perciba a esta función como un servicio de soporte de las funciones de línea, por lo que los recursos que se asignan y la atención de la dirección se dirige a las líneas en teoría más importante, aun en una gran mayoría se mantiene.

AUDITORIA DE SISTEMAS

UNA PUNO

Muchos usuarios ven a la función de los sistemas de información como “un restaurante de cocina rápida”. Las necesidades de los clientes son siempre inmediatas y tiene prioridad número uno, sobre cualquier tema de gestión interna de la función. Así es frecuente encontrar; documentación escasa de operación y soporte de explotación, gestión eficiente del almacenamiento, planificación de la capacidad, seguimiento y gestión del rendimiento de los equipos, instalación desactualizada de versiones y correcciones de errores en el software proporcionado por los vendedores, procedimientos de control de cambios en aplicaciones, planes de recuperación en caso de desastres y prueba de los mismos, revisiones periódicas de las librerías críticas para asegurar que rutinas no autorizadas no se han insertado en programas por programaciones de sistemas u otros profesionales y seguimiento de los informes de intentos de violación de seguridad. b)

Excesivo poder de los informáticos

Los sistemas de información son, por su naturaleza, un tema esotérico y los técnicos lo saben y han ejercido un tremendo poder debido a su experiencia. La naturaleza técnica, complejidad y rápida evolución de los sistemas de información, crean una barrera formidable para los que son ajenos a la función. La alta dirección carece de tiempo y de inclinación a educarse tales áreas técnicas. Los directivos informáticos raramente son promocionados a posiciones de alta dirección debido a su falta de experiencia en el negocio. c)

Abdicación de la alta dirección

La alta dirección generalmente abdica de sus responsabilidades sobre los sistemas de información. Los directivos de las empresas se pueden clasificar en tres categorías:

AUDITORIA DE SISTEMAS

UNA PUNO

 Aquellos que desearían que la tecnología desapareciera.  Los que piensan que este trabajo debería ser elevado en su categoría y delegado en una persona importante dentro de la organización, alguien que se ocupe de ello y le mantenga informado y alejado de los problemas.  Los que perciben la tecnología como una parte integral del día a día y reconocen que el director de sistemas de información debe formar parte del equipo de la alta dirección. d) Los usuarios tienen dificultad para definir sus necesidades Los usuarios tienen serias dificultades en la definición de sus necesidades. La dificultad humana básica, es especificar requisitos para sistemas abstractos, tales como especificar por adelantado los criterios positivos para evaluar los sistemas actuales. Así mismo, se demuestra que los usuarios están más capacitados para identificar fallas, esto es, capacidad que posee un usuario para señalar, cuándo el sistema no es capaz de resolver su problema como él esperaba. e)

Resistencia de los usuarios al cambio

La tecnología de la información es, a menudo, aplicada inapropiadamente y desperdiciada muchas

de sus potencialidades debido a los procedimientos

obsoletos de trabajo utilizada por los usuarios y su resistencia al cambio. Una nueva aplicación se desarrolla, de acuerdo con las especificaciones de los usuarios, ya que estos están muy interesados en mantener las relaciones actuales de dependencia, se evitan cambios fundamentales en el trabajo. f)

Informática de usuario final

Hoy los usuarios explotan directamente máquinas con una mínima intermediación en infinidad de áreas, cada vez son más independientes en los trabajos que realizan. Hay tres razones importantes para ello:

AUDITORIA DE SISTEMAS

UNA PUNO

 La acelerada evolución de la tecnología de computación representada por los microprocesadores.  El gran incremento de la formación de los usuarios.  El gran crecimiento de las carteras de aplicación.

GLOSARIO DE TERMINOS Afianzar: Garantizar el cumplimiento de una obligación.

Afirmar, asegurar

puntualmente. Aplicaciones: Programa o conjunto de programas concebidos para la realización de una tarea determinada. Automatizar: Hacer automático un funcionamiento. tareas

Ejecución automática de

industriales, administrativas, o científicas sin la intervención humana

intermediaria. Competidores: Que compite, acción y efecto de competir respecto de una empresa o comercio. Consolida: Dar o adquirir firmeza o solidez. Asegura del todo la alianza. Directivos: Que tiene facultad y virtud de dirigir. Hardware: Conjunto de órganos físicos del computador. Implantación: Establecer, instaurar poner en ejecución practicas o costumbres nuevas. Infraestructura: conjunto de trabajos relativos a la cimentación de los edificios. Base física sobre la que se asienta la economía de un país. Interactuar: ejercer una acción reciproca. Líder del proyecto: Dirigir o encabezar un proyecto. Metodologías: Estudio de los métodos. Aplicación coherente de un método.

AUDITORIA DE SISTEMAS

UNA PUNO

Patrocinador: Entidad que favorece o protege una causa, empresa, candidatura. Sufragar una empresa o institución, generalmente con fines publicitarios. Pronósticos: Conocer o prever por algunos indicios o señales, el futuro. Predecir lo que ha de suceder. Prototipo: Primer ejemplar, modelo. Relevante: Sobresaliente, excelente. Importante o significativo. Software: Conjunto de programas procesados, eventualmente documentación, relativos al funcionamiento de un conjunto de tratamiento de información. Soporte: Apoyo, sostén. Lo que sirve para sostener algo. BIBLIOGRAFIA IVANCEVICH, John M.; LORENZI, Peter; SKINNER, Steven J. y CROSBY, Philip B.Gestión, calidad y competitividad. Madrid: McGrawHill, 1997. PRESTHUS, R. The organizational Society. Nueva York, 1962. Citado en: MOZZELIS, Nicos P. Organización y burocracia. Barcelona: Ediciones Península, 1991. CHAIN NAVARRO, Celia. Gestión de Información en las Organizaciones. Murcia: DM, 1997. LÓPEZ YEPES, José. El desarrollo de los sistemas de información y documentación. Cuadernos de la EUBD, 1991 KNOWLEDGE-BASED SYSTEMS IN JAPAN, de los autores Edward Feigenbaum Chair, Peter E. Friedland, Bruce B. Johnson, H. Penny Nii, Herbert Schorr, Howard Shrobe, Robert S. Engelmore (Ed.).Mayo 1993. Del Japanese Technology Evaluation Center (JTEC).

AUDITORIA DE SISTEMAS

UNA PUNO

GIL PECHUAN, Ignacio. Sistemas y Tecnologías de la Información para la gestión. Madrid: McGraw Hill, 1997. FRIEND, D. EIS: straight to the point. Information Strategy: The Executive Journal, 1998 SENN, James A. Análisis y diseño de sistemas de información. México: McGrawHill, 1992 BIRD, J. Executive Information Systems. Management Handbook. Oxford: Blackwell, 1992. WEBGRAFIA http://es.wikipedia.org/wiki/Sistema_de_procesamiento_de_transacciones (5 de Noviembre del 2011) http://www.mitecnologico.com/Main/SistemasDeProcesamientoDeTransacciones (5 de Noviembre del 2011) www.Gestiopolis.com (5 de Noviembre del 2011) Kosciuk H. Nicolas, (2006). “Sistemas de Información Gerencial”. MSN: [email protected]